На сколько "мощный" касперский?

[Maylo]

Меня начали интересовать вопросы - заблокирует ли касперский изменение регистра и изменение/удаление мбр, если эти действия совершает не пользователь, а приложение, которое он запустил? Изменение сервисов на компьютере антивирусник блокирует(пробовал программу BoosterX и касперский не давал что либо сделать проге). Второй вопрос - если я смогу каким то образом скачать вирус-шифровальщик и запустить его(например тот же WannaCry, я знаю что касперский его сразу удаляет, но давайте сделаем вид, что я смог его запустить), что сделает касперский? Даст ли зашифровать файлы?

Пока это все вопросы, заранее спасибо за ответ. (Если где то на сайте можно найти ответы на мои вопросы, просто дайте ссылку и я сам прочитаю)

[kmscom]

Если вы имеете прямой доступ к ПК и права администратора, вы можете делать что хотите.

Антивирус помогает пользователю распознавать зловредное ПО, а также предупреждает о потенциально нежелательном. Но если пользователь хочет что то удалить критичного или зашифровать, то он подчинится и повинуется.

[Maylo]

Проверил на виртуалке - удаление мбр и изменение регистра вредоносным приложением - касперский уже ничего не сделает. Если вы активируете вирус шифровальщик, то касперский СМОЖЕТ удалить вирус, но файлы расшифровать не сможет(проверял только на WannaCry).

[NikitaDob]

Если вы про восстановление MBR, то здесь уже ничего не поможет, нужно грузиться с какого-нибудь WinPE или загрузочной флешки и вручную восстанавливать его.

Если про попытку изменения MBR вредоносной программой, которая неизвестна в облаке и не определяется сигнатурами, то я тоже проверял это на виртуальной машине, и если вредоносная программа пытается изменить/удалить MBR, то Мониторинг активности в продуктах Kaspersky помечает её как "PDM:Trojan.Win32.Generic" и не даёт это сделать. Также он может пометить её как "not-a-virus:PDM:RiskTool.BootChanger" (точное наименование детекта я не помню).

С реестром похожая ситуация - если программа была обнаружена Мониторингом активности, то изменения, созданные программой в реестре (как и на диске), будут автоматически отменены благодаря функции "Откат активности приложений" в Мониторинге активности.

А если вы про проактивный детект из-за изменений в реестре, то тут уже смотря какие изменения программа вносит в реестр.

Про расшифровку файлов: Если Мониторинг активности обнаружил проактивно программу-шифровальщик, то при первой же возможности он попытается восстановить зашифрованные файлы.

Но вот расшифровать уже зашифрованные файлы (после поражения шифровальщиком) он не сможет, для этого нужен специальный дешифровщик, который не всегда и не для каждой программы-шифровальщика есть.