Jump to content

Kaspersky findet vermeintliche Verschlüsselungsbedrohung


sudobash
 Share

Go to solution Solved by alexcad,

Recommended Posts

Moin!

Wir haben ein kleines Konfigurationsproblem:

Domänennetzwerk mit Kas SC 13.2, auf den betreffenden WS ist 11.9 Endpoint Security installiert.

Wenn diese Benutzer Überweisungen mit Profi Cash tätigen, bekommen diese am Ende einen Codebase Error von ProfiCash, weil Kaspersky den Hosts aus dem Netzwerk für 30 Minuten ausschließt. Ist auch soweit klar. (Die Benutzer starten dann ihren Rechner neu und sind wieder im Netzwerk).

Kaspersky meint das wäre ein Verschlüsselungsangriff mit Trojan.multi.genericcryptor.ksws. Das ist aber definitiv eine Falschmeldung. Jetzt haben wir ein Problem, eine Ausnahme dafür für PC 192.168.1.1 (Beispiel) zu setzen. Wir haben im Cryptmodul schon Ausnahmen gesetzt (in der Richtlinie)für (beispiel) 

o:\shares\bank

und

\\File-srv\shares\bank\profi\

selbst die Datei .DR$ haben wir in die Ausnahme gesetzt. Das Problem besteht aber weiterhin.

Wir haben selbst den Prozess wpc.exe in die Vertrauenswürdige Zone eingetragen, Fehler kommt trotzdem.

Wir kommen eigentlich mit Kaspersky gut klar, aber mit Profi Cash ärgert er es jetzt schon länger.

Kann uns jemand ein Tipp geben wo genau wir in der Richtlinie das als Ausnahme definieren müssen ?

 

 

Edited by sudobash
Link to comment
Share on other sites

Ok, folgendes:

Wenn man eine Ausnahme im Anti-Cryptor Modul definiert, ist diese scheinbar dafür nicht zuständig. Deswegen werden weiterhin Hosts blockiert und aus dem Netzwerk gekickt wenn was Verdächtiges Richtung Verschlüsselung gefunden wird.

Stattdessen muss die Aufgabe "Schutz vor Verschlüsselung" die unter Aufgaben der jeweiligen Server stehen bearbeiten. Dort kann man Ausnahmen setzen, die dann auch ziehen.

Wieder was gelernt.

Link to comment
Share on other sites

  • Solution

Hallo sudobash,

entschuldige die späte Rückmeldung, war im Urlaub.

Bei deinen Ausführungen kann was nicht stimmen - daher habe ich mir erlaubt, die Markierung als Lösung zu entfernen.
Das Modul "Anti-Cryptor" bzw. "Schutz vor Verschlüsselung findet sich nur im Produkt "Kaspersky Security für Windows Server". In der KES ist der Schutz vor Verschlüsselung Teil der Verhaltensanalyse.

Für den Server, auf dem das Anti-Cryptor-Modul anschlägt müsstest du daher eine Ausnahme auf den lokalen Pfad der Server-Freigabe in der Richtlinie für KS4WS erstellen.

image.thumb.png.6588b514b8c27f88d46a8be9417f7245.png


Bitte beachte dabei:

- Pfadangaben müssen mit einem Backslash enden.
- Damit die Einstellungen verbindlich sind und auf dem Endpoint übernommen werden muss das Schloss in der Richtlinie zu sein.

Grüße
Alex


PS: KS4WS ist abgekündigt und sollte möglichst zeitnah durch die KES ersetzt werden. Siehe dazu die Hot-Topics und diverse Diskussionen im Forum.

 

  • Thanks 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share



×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.