Jump to content

Recommended Posts

Posted

Меня начали интересовать вопросы - заблокирует ли касперский изменение регистра и изменение/удаление мбр, если эти действия совершает не пользователь, а приложение, которое он запустил? Изменение сервисов на компьютере антивирусник блокирует(пробовал программу BoosterX и касперский не давал что либо сделать проге). Второй вопрос - если я смогу каким то образом скачать вирус-шифровальщик и запустить его(например тот же WannaCry, я знаю что касперский его сразу удаляет, но давайте сделаем вид, что я смог его запустить), что сделает касперский? Даст ли зашифровать файлы?

Пока это все вопросы, заранее спасибо за ответ. (Если где то на сайте можно найти ответы на мои вопросы, просто дайте ссылку и я сам прочитаю)

  • Solution
Posted

Если вы имеете прямой доступ к ПК и права администратора, вы можете делать что хотите.

Антивирус помогает пользователю распознавать зловредное ПО, а также предупреждает о потенциально нежелательном. Но если пользователь хочет что то удалить критичного или зашифровать, то он подчинится и повинуется.

  • Like 1
Posted

Проверил на виртуалке - удаление мбр и изменение регистра вредоносным приложением - касперский уже ничего не сделает. Если вы активируете вирус шифровальщик, то касперский СМОЖЕТ удалить вирус, но файлы расшифровать не сможет(проверял только на WannaCry).

  • 4 weeks later...
Posted

Если вы про восстановление MBR, то здесь уже ничего не поможет, нужно грузиться с какого-нибудь WinPE или загрузочной флешки и вручную восстанавливать его.

Если про попытку изменения MBR вредоносной программой, которая неизвестна в облаке и не определяется сигнатурами, то я тоже проверял это на виртуальной машине, и если вредоносная программа пытается изменить/удалить MBR, то Мониторинг активности в продуктах Kaspersky помечает её как "PDM:Trojan.Win32.Generic" и не даёт это сделать. Также он может пометить её как "not-a-virus:PDM:RiskTool.BootChanger" (точное наименование детекта я не помню).

С реестром похожая ситуация - если программа была обнаружена Мониторингом активности, то изменения, созданные программой в реестре (как и на диске), будут автоматически отменены благодаря функции "Откат активности приложений" в Мониторинге активности.

А если вы про проактивный детект из-за изменений в реестре, то тут уже смотря какие изменения программа вносит в реестр.

Про расшифровку файлов: Если Мониторинг активности обнаружил проактивно программу-шифровальщик, то при первой же возможности он попытается восстановить зашифрованные файлы.

Но вот расшифровать уже зашифрованные файлы (после поражения шифровальщиком) он не сможет, для этого нужен специальный дешифровщик, который не всегда и не для каждой программы-шифровальщика есть.

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...