Jump to content
Kaspersky Support Forum

KS4WS: Schutz vor Verschlüsselung - false positive

SecAdmin

By SecAdmin
in Für Unternehmen

 Share
Go to solution Solved by alexcad,

Recommended Posts

SecAdmin

SecAdmin

Posted
  • Author
Posted

Hallo,

 

es passiert immer wieder, dass der “Schutz vor Verschlüsselung” auslöst und einen Client vom Serverzugriff aussperrt.

Der User hat dabei nur eine kleinere Anzahl Dateien auf sein lokales Laufwerk kopiert, bearbeitet und wieder auf den Server kopiert. Was kann ich tun um diese Fehlalarme zu verhindern?

 

Gruß

Thomas

alexcad

alexcad

Posted
Posted

Hallo Thomas,

welches Produkt hast du denn im Einsatz? (Version, Patchlevel)

Um es gleich vorweg zu nehmen:

  • Für KS4WS 10.1.2 gibt es CF11, der eingespielt werden sollte.
  • Falls KS4WS 11.0.0 im Einsatz ist würde ich ein Upgrade auf KS4WS 11.0.1 empfehlen.

Hintergrund: Fehlalarme dieses Moduls werden oft durch die heuristische Analyse ausgelöst. Die CriticalFixes bzw. Versionsupgrades bessern hier oft etwas nach.

Dennoch lassen sich Fehlalarme auch bei aktuellen/gepatchten Versionen nicht ausschließen. Hier gilt es dann passende Ausnahmen zu finden:
 


Grüße
Alex​​​​​​​

SecAdmin

SecAdmin

Posted
  • Author
Posted

Hallo Alex,

diverse Ausnahmen hab ich schon gesetzt. Das funktioniert ist aber ja komplett kontraproduktiv. Genau die Daten die ich vor Verschlüsselung schützen möchte muss ich in die Ausnahmen packen. 😖

Evtl. ist das Konzept diese Moduls eher suboptimal.

 

 

Gruß

Thomas

  • Solution
alexcad

alexcad

Posted
  • Solution
Posted

Hallo Thomas,

ich muss nochmal die Frage nach der eingesetzten Version und dem Patchstand stellen - davon hängt Einiges ab.

Normalerweise sind hier nur wenige Ausnahmen erforderlich. Fehlalarme kommen vor allem durch verschlüsselte Dateien, bei den Kaspersky den Verschlüsselungsalgorithmus nicht kennt. 
In der Praxis sind das z. B. Dateien von Banking-Software, etc.

Hier können Ausnahmen aber in der Regel sehr gezielt gesetzt werden, so dass man sich kein allzu großes Loch reißt.

Generell ist das Risiko durch gesetzte Ausnahmen nicht sonderlich groß: Es wäre schon ein extremer Zufall, wenn der Verschlüsselungstrojaner mit einer ausgenommenen Datei beginnt. In der Regel arbeiten die Verschlüsselungstrojaner die Ordner- und Dateistruktur alphabetisch ab. Selbst wenn durch einen blöden Zufall ein/zwei Dateien verschlüsselt werden - das Schutzmodul schlägt sehr schnell an und damit ist die weitere Verschlüsselung unterbunden, sowie der Angriff detektiert.
Auch mit Ausnahmen ist man daher gut vor Verschlüsselungen geschützt.

Grüße
Alex

SecAdmin

SecAdmin

Posted
  • Author
Posted

Hallo Alex,

 

du hast natürlich recht, es wäre schon ein blöder Zufall, wenn der Trojaner genau mit den Ausnahmen beginnen würde. Aber es gibt da Murphys Gesetz … 😅

Hier ist noch unsere eingesetzte Version von WS4WS: 11.0.0.480

 

Gruß und Danke

Thomas

alexcad

alexcad

Posted
Posted

Für KS4WS 11.0.0 steht CF4 zur Verfügung (ist zumindest mein letzter Stand). Aufgrund der Problematik mit Windows Servern 2016  ...

Link

… haben wir diese Version nie eingesetzt.

Das oben beschriebene Problem wurde mit KS4WS 11.0.1 gefixt - ich würde ein Upgrade auf diese Version empfehlen. Alle Fixes der 11.0.0 wurden integriert - es gibt also noch mehr Korrekturen.
Leider hat sich auf der deutschen Download-Seite von Kaspersky ein Fehler eingeschlichen: Statt der aktuellen KS4WS11.0.1 wird die völlig veraltete Version 10.1.1 angeboten. Kaspersky arbeitet daran das Problem zu beseitigen.

Auf der englischen Download-Seite ist alles korrekt. Hier steht aber nur das englische Paket zur Verfügung.

Grüße
Alex

Guest
This topic is now closed to further replies.
 Share
Go to topic listing


×
×
  • Create New...