Jump to content

Recommended Posts

добрый день! 

Установлен Kaspersky Security 10 для Windows Serve  10.0.0.486 под управлением KSC 10.5.1781

С недавнего времени произвольно при копировании произвольные файлов на файл-сервер происходит  событие  типа:

Обнаружен объект:  HEUR:Trojan.Multi.Crypmod.gen. Имя объекта: F:\Shared\nov_usersshare\РИЦ\Отдел бух и юр\Бухгалтерия\НАПРАВЛЕНИЕ_ВЕДЕНИЕ РАСЧЕТОВ\2018\Инвентаризация\на 31.12.2018\Кыштовка\Оправдательный документ № 22551 от 01.02.2019\002.jpg

Файлы произвольные, время возникновения произвольное. 

 

Срабатывает компонент Защита от шифрования в момент простого копирования в директорию файл-сервера.

Файлы проверены руками (через KES 11.0.1.90, никакой подозрительной активности нет) 

 

 

 

Share this post


Link to post

Тут есть несколько способов:

1) Отключить защиту от шифрования

2) Установить последний патч core на вашу версию KSWS

3) Обновить KSWS до версии 10.1.1

Последний вариант наиболее предпочтителен, но даже под ним изредка бывают ложные срабатывания, а на непатченной KSWS 10 защита от шифрования ложно срабатывает на все подряд из-за чего приходилось её отключать.

Edited by Kommunist7304

Share this post


Link to post
9 минут назад, DegtyarevDmitry сказал:

Не помогло( 

Обновил до 10.1.1, результат тот же

А вирустотал что говорит на этот же файл? https://www.virustotal.com/#/home/upload

Если ни одной угрозы не будет обнаружено, тогда это ложное срабатывание, рекомендуется создать тикет с приложенными журналами детекта антивируса, отчёта GSI 6.2 (с галочкой Include event logs) и логом с virustotal в https://companyaccount.kaspersky.com

Share this post


Link to post

DegtyarevDmitry добавьте в исключения расширение файлов, используемых сторонними программами шифрования. У меня, например, добавлено расширение *.sig.

Share this post


Link to post

D

16 минут назад, Anykeyshik сказал:

А вирустотал что говорит на этот же файл? https://www.virustotal.com/#/home/upload

Если ни одной угрозы не будет обнаружено, тогда это ложное срабатывание, рекомендуется создать тикет с приложенными журналами детекта антивируса, отчёта GSI 6.2 (с галочкой Include event logs) и логом с virustotal в https://companyaccount.kaspersky.com

image.png.f9f826ea06e4e7bb3e86af606bdeb253.pngВсе чисто! Эх, придется кей заводить(

Share this post


Link to post
1 час назад, DegtyarevDmitry сказал:

Все чисто! Эх, придется кей заводить(

Здравствуйте,

Если проблема только с файлами EDS, то нужно их исключить из области защиты АнтиКриптора по маске:

*.EDS

 

Share this post


Link to post
14 часов назад, Oleg Bykov сказал:

Здравствуйте,

Если проблема только с файлами EDS, то нужно их исключить из области защиты АнтиКриптора по маске:

*.EDS

 

Нет, срабатывание в произвольном формате, не только EDS

Share this post


Link to post
8 часов назад, DegtyarevDmitry сказал:

Нет, срабатывание в произвольном формате, не только EDS

Тогда нужны трейсы в момент срабатывания - будем разбираться.

Наверное, удобнее это будет вести в рамках инцидента?

 

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.