Jump to content

Recommended Posts

petrovich1077
Posted

Добрый день
Мы пробовали прописать исключения для программы подготовки отчетности Pikosoft. Во время работы программы никаких проблем нет. Но только при попытке зашифровать файлы с помощью ЭЦП, KES срабатывает, не смотря на исключения и файлов программы и всей директории, где находятся все файлы программы(компоненты в исключениях добавлены все). Зашифровать файлы удается только если отключать KES
Тип события: Процесс завершен
Название: ps_5_2_SSDNEMED_10rd_sr_m64.exe
Путь к приложению: C:\Users\\AppData\Roaming\picosoft\xbrl64
ID процесса: 2212
Компонент: Анализ поведения
Описание результата: Завершен
Тип: Троянское приложение
Название: PDM:Trojan.Win32.Generic
Степень угрозы: Точно
Точность: Высокая
Тип объекта: Процесс
Путь к объекту: C:\Users\\AppData\Roaming\picosoft\xbrl64
Название объекта: ps_5_2_SSDNEMED_10rd_sr_m64.exe
SHA256: C55D872116FDFAD527017197C9421FD7A602744233DC36DBE925BAAB12849B04
MD5: B4D4954A26C1EFE7FB0DF2583B11ADD3
Подскажите, пожалуйста, каким образом можно прописать исключения, чтобы исключить срабатывание на шифрование файлов?

Posted

Можете показать какие исключения Вы задали?

Posted (edited)

Добрый день

покажите каким образом вы настроили исключения

попробуйте такие варианты

исключение из проверки

Спойлер

image.thumb.png.30aa45fd64e82a199bf5f48b71668221.png

 

Доверенные приложения

Спойлер

image.thumb.png.b2e45c45db650c5738c49fe0eabbd26a.png

убедитесь что пути указаны верно

 

так же в компоненте Анализ поведения есть возможность настройки исключений для хостов если шифрование идет в папках общего доступа

Спойлер

image.thumb.png.06ac32c6994124591c89cf4f8a3c1666.png

 

Edited by ElvinE5
petrovich1077
Posted (edited)
15 минут назад, durtuno сказал:

Можете показать какие исключения Вы задали?

Пробовали указывать как абсолютный путь до приложения
Так и просто указывать отдельно исполняемые файлы. При простом их запуске проблем никаких нет. Только когда происходит шифрование файлов

исключения 3_LI.jpg

исключения 2.JPG

 

исключения1.JPG

исключения 4.JPG

Edited by petrovich1077
petrovich1077
Posted
9 минут назад, ElvinE5 сказал:

Добрый день

покажите каким образом вы настроили исключения

попробуйте такие варианты

исключение из проверки

  Скрыть контент

image.thumb.png.30aa45fd64e82a199bf5f48b71668221.png

 

Доверенные приложения

  Скрыть контент

image.thumb.png.b2e45c45db650c5738c49fe0eabbd26a.png

убедитесь что пути указаны верно

Да , так пробовали, но эффект тот же самый,  даже если все компоненты указывать и всю папку целикои

Posted (edited)

Попробуйте указать папку целиком ...вероятно в вашем случаи система не понимает формат (неверный формат)

Спойлер

image.thumb.png.9266f266ad4eacc06fbd2162d22710c0.png

при указании файла это так же должен быть полный путь к файлу, его полным именем 

Edited by ElvinE5
petrovich1077
Posted
32 минуты назад, ElvinE5 сказал:

Попробуйте указать папку целиком ...вероятно в вашем случаи система не понимает формат (неверный формат)

  Показать контент

image.thumb.png.9266f266ad4eacc06fbd2162d22710c0.png

при указании файла это так же должен быть полный путь к файлу, его полным именем 

Указали полный путь до папки, чтобы оканчивался путь на "\". Такая же ошибка при шифровании файлов

сработка.JPG

исключения 5.JPG

Posted (edited)

странно ... ну еще один вариант исключения это по названию объекта, но это по моему уже перебор ...

Спойлер

image.thumb.png.4da37b5e4d2bbe41bb4211885dd170f4.png

в вашем случаи это

Спойлер

image.png.4604fc0c82d39dd32808d446c0f4f55e.png

 

на правах бреда ...

убедитесь что политика в которую вы вносите изменения применяется к устройству на котором выполняете тестирование, и то что соответствующие замочки закрыты.

Спойлер

image.thumb.png.8302927f382f8fcae5be02c8abf15663.png

 

upd: попробуйте лучше по хешу файл описать ... это будет наверно более безопасно, и не потребуется описание путей

Edited by ElvinE5
  • Solution
petrovich1077
Posted
18 минут назад, Demiad сказал:

Добрый день.

Не следует вносить программы, (если) ложно определяемые как вредоносное ПО в исключения!

Воспользуйтесь сервисом Kaspersky OpenTIP , отправьте через него образец файла с ложным детектом, для получения обратной связи укажите email в форме отправки. После исправления корректности обнаружения новая репутация станет доступна незамедлительно через KSN (Kaspersky Security Network), если вы его используете (крайне рекомендуется), либо через несколько часов в обновлении антивирусных баз.

Сейчас видно вредоносную репутацию файла в KSN для указанного хеша:
https://opentip.kaspersky.com/b4d4954a26c1efe7fb0df2583b11add3/results?tab=lookup

image.thumb.png.2e0004632ef6f8c0530462b1579cda02.png

Огромное спасибо. Файл отправили на анализ. Будем ждать ответа
Но вообще мы нашли решение сейчас с разработчиком софта. 
Нужно было сертификат, которым подписано приложение добавить в Доверенные издатели и далее в KSC включить использование этих доверенных издателей. После это все заработало и при шифровании не детектируется больше Касперским.

Пикософт.JPG

  • Like 1

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...