KES при шифровании файлов с помощью ЭЦП удаляет исполняемые файлы программы

[petrovich1077]

Добрый день
Мы пробовали прописать исключения для программы подготовки отчетности Pikosoft. Во время работы программы никаких проблем нет. Но только при попытке зашифровать файлы с помощью ЭЦП, KES срабатывает, не смотря на исключения и файлов программы и всей директории, где находятся все файлы программы(компоненты в исключениях добавлены все). Зашифровать файлы удается только если отключать KES
Тип события: Процесс завершен
Название: ps_5_2_SSDNEMED_10rd_sr_m64.exe
Путь к приложению: C:\Users\\AppData\Roaming\picosoft\xbrl64
ID процесса: 2212
Компонент: Анализ поведения
Описание результата: Завершен
Тип: Троянское приложение
Название: PDM:Trojan.Win32.Generic
Степень угрозы: Точно
Точность: Высокая
Тип объекта: Процесс
Путь к объекту: C:\Users\\AppData\Roaming\picosoft\xbrl64
Название объекта: ps_5_2_SSDNEMED_10rd_sr_m64.exe
SHA256: C55D872116FDFAD527017197C9421FD7A602744233DC36DBE925BAAB12849B04
MD5: B4D4954A26C1EFE7FB0DF2583B11ADD3
Подскажите, пожалуйста, каким образом можно прописать исключения, чтобы исключить срабатывание на шифрование файлов?

[durtuno]

Можете показать какие исключения Вы задали?

[ElvinE5]

Добрый день

покажите каким образом вы настроили исключения

попробуйте такие варианты

исключение из проверки

  Reveal hidden contents

 

Доверенные приложения

  Reveal hidden contents

убедитесь что пути указаны верно

 

так же в компоненте Анализ поведения есть возможность настройки исключений для хостов если шифрование идет в папках общего доступа

  Reveal hidden contents

 

Edited July 4, 2023 by ElvinE5

[petrovich1077]

  On 7/4/2023 at 5:57 AM, durtuno said:

Можете показать какие исключения Вы задали?

Expand  

Пробовали указывать как абсолютный путь до приложения
Так и просто указывать отдельно исполняемые файлы. При простом их запуске проблем никаких нет. Только когда происходит шифрование файлов

 

Edited July 4, 2023 by petrovich1077

[petrovich1077]

  On 7/4/2023 at 6:00 AM, ElvinE5 said:

Добрый день

покажите каким образом вы настроили исключения

попробуйте такие варианты

исключение из проверки

  Reveal hidden contents

 

Доверенные приложения

  Reveal hidden contents

убедитесь что пути указаны верно

Expand  

Да , так пробовали, но эффект тот же самый,  даже если все компоненты указывать и всю папку целикои

[ElvinE5]

Попробуйте указать папку целиком ...вероятно в вашем случаи система не понимает формат (неверный формат)

  Reveal hidden contents

при указании файла это так же должен быть полный путь к файлу, его полным именем 

Edited July 4, 2023 by ElvinE5

[petrovich1077]

  On 7/4/2023 at 6:16 AM, ElvinE5 said:

Попробуйте указать папку целиком ...вероятно в вашем случаи система не понимает формат (неверный формат)

  Reveal hidden contents

при указании файла это так же должен быть полный путь к файлу, его полным именем 

Expand  

Указали полный путь до папки, чтобы оканчивался путь на "\". Такая же ошибка при шифровании файлов

[ElvinE5]

странно ... ну еще один вариант исключения это по названию объекта, но это по моему уже перебор ...

  Reveal hidden contents

в вашем случаи это

  Reveal hidden contents

 

на правах бреда ...

убедитесь что политика в которую вы вносите изменения применяется к устройству на котором выполняете тестирование, и то что соответствующие замочки закрыты.

  Reveal hidden contents

 

upd: попробуйте лучше по хешу файл описать ... это будет наверно более безопасно, и не потребуется описание путей

Edited July 4, 2023 by ElvinE5

[Demiad]

  On 7/4/2023 at 6:50 AM, petrovich1077 said:

Указали полный путь до папки, чтобы оканчивался путь на "\". Такая же ошибка при шифровании файлов

Expand  

Добрый день.

Не следует вносить программы, (если) ложно определяемые как вредоносное ПО в исключения!

Воспользуйтесь сервисом Kaspersky OpenTIP , отправьте через него образец файла с ложным детектом, для получения обратной связи укажите email в форме отправки. После исправления корректности обнаружения новая репутация станет доступна незамедлительно через KSN (Kaspersky Security Network), если вы его используете (крайне рекомендуется), либо через несколько часов в обновлении антивирусных баз.

Сейчас видно вредоносную репутацию файла в KSN для указанного хеша:
https://opentip.kaspersky.com/b4d4954a26c1efe7fb0df2583b11add3/results?tab=lookup

[petrovich1077]

  On 7/4/2023 at 8:40 AM, Demiad said:

Добрый день.

Не следует вносить программы, (если) ложно определяемые как вредоносное ПО в исключения!

Воспользуйтесь сервисом Kaspersky OpenTIP , отправьте через него образец файла с ложным детектом, для получения обратной связи укажите email в форме отправки. После исправления корректности обнаружения новая репутация станет доступна незамедлительно через KSN (Kaspersky Security Network), если вы его используете (крайне рекомендуется), либо через несколько часов в обновлении антивирусных баз.

Сейчас видно вредоносную репутацию файла в KSN для указанного хеша:
https://opentip.kaspersky.com/b4d4954a26c1efe7fb0df2583b11add3/results?tab=lookup

Expand  

Огромное спасибо. Файл отправили на анализ. Будем ждать ответа
Но вообще мы нашли решение сейчас с разработчиком софта. 
Нужно было сертификат, которым подписано приложение добавить в Доверенные издатели и далее в KSC включить использование этих доверенных издателей. После это все заработало и при шифровании не детектируется больше Касперским.

[Demiad]

@petrovich1077, спасибо за обратную связь. Если есть возможность, передайте разработчику ПО рекомендацию подключиться к нашему сервису для поставщиков ПО и клиентов антивирусного ПО в том числе, сервис AllowList. Если разработчик будет заранее направлять нам обработку образы файлов, то они всегда будут иметь положительную репутацию и никогда не будет возникать схожий с вашей проблем.

[Demiad]

@petrovich1077, вижу репутация обновилась, всё ок