Вирусные вложения в почте

[Tyson]

Всем добрый день!

С недавнего времени средствами задачи KSC усилил методы проверки файлов через KES 11.11, вследствие чего начало находиться много вложений из почты, которые входят в состав файла данных Outlook формата .pst и отмечаются в активных угрозах KSC. Если лечить эти угрозы, что зачастую равнозначно удалению, то вместе с этим удаляется и сам файл .pst, а с ним понятное дело вся почта пользователя. Если восстанавливать файл из резервного хранилища, то с ним восстанавливается и зараженное вложение и так по кругу. Вручную удалять такое количество сообщений займет слишком много времени. Исключать проверку по формату файла тоже не вариант, по понятным думаю причинам. Вопрос: Можно ли средствами Касперского заблокировать открытие этих сообщений, чтобы в дальнейшем и сам каспер не обнаружил его снова и пользователь не смог скачать это вложение или же какой другой вариант решения, который я скорее всего упустил?

 

P.s. читал про "Защиту от почтовых угроз", однако если я правильно понял, то поставив пункт "Лечить; блокировать, если лечение невозможно", то к теме сообщения просто добавится текст про зараженное вложение, однако само сообщение и вложение останется доступным, если оно не вылечено.

[Goddeimos13]

12 часов назад, Tyson сказал:

Если лечить эти угрозы, что зачастую равнозначно удалению, то вместе с этим удаляется и сам файл .pst, а с ним понятное дело вся почта пользователя.

Приветствую!
Копайте в эту сторону. Это так не должно работать. Удаляется письмо, содержимое письма или вложенный файл, НО никак не весь файл данных почтового ящика.

[Tyson]

3 часа назад, Goddeimos13 сказал:

Приветствую!
Копайте в эту сторону. Это так не должно работать. Удаляется письмо, содержимое письма или вложенный файл, НО никак не весь файл данных почтового ящика.

Так а куда копать? Разве можно задавать правила лечения объектов?

Когда уже создал данную тему нашел это обсуждение на другом форуме, где говорится, что каспер не может удалить отдельное сообщение, а только целиком файл, в чем собственно я убедился на собственном опыте... Получается как по мне остается всего 2 варианта: либо вручную все вычищать, либо исключать файл pst из области проверки.

[Goddeimos13]

Кажется понял.

В Вашем случае Вы запускаете задачу файлового сканирования. Этот компонент возможно не умеет вычищать *.pst.

Но я лично для защиты почты рекомендую использовать компонент Mail Threat Protection со следующими настройками. Вот он без проблем находит и удаляет malware в письмах (по крайней мере если используется MS Outlook с соответствующей надстройкой).

[Tyson]

29 минут назад, Goddeimos13 сказал:

В Вашем случае Вы запускаете задачу файлового сканирования.

Все верно, в соответствии с внутренними правилами запускается задача проверки файлов.

29 минут назад, Goddeimos13 сказал:

Но я лично для защиты почты рекомендую использовать компонент Mail Threat Protection со следующими настройками.

Компонент используется, разве что немного более оптимизированный. Единственное что для меня пока непонятно, это подключение расширения для Outlook. Бывший администратор сказал, что однажды это расширение поломало почту нескольким пользователям из-за чего его пришлось отключить. Если судить по описанию саппорта, он выполняет те же функции, что и обычная проверка почты, разве что там добавляется возможность проверки при прочтении письма, так что не совсем понимаю целесообразность включения этого расширения.

Изменено 19 апреля, 2023 пользователем Tyson

[ElvinE5]

28 минут назад, Goddeimos13 сказал:

(по крайней мере если используется MS Outlook

если используется любой клиент работающий по протоколам POP, SMTP, IMAP, NNTP, а так же включен параметр "проверка защищенных соединений" - если почта проверяется просто через веб - этот компонент не работает.

компонент расширения встраиваемый в OutoLook не работает с х64 версиями офиса, лучше отключить ...иначе это может вызывать зависания в работе интерфейса приложения

 

как правильно подсказывает @Goddeimos13 у вас срабатывает защита от файловых угроз ... вероятно компонент защита от почтовых унроз - не работает корректно

либо

Цитата

С недавнего времени средствами задачи KSC усилил методы проверки файлов через KES 11.11

перестарались с "закручиванием гаек" ... стоит пересмотреть и ослабить ...

было бы неплохо узнать КАК закрутили что он детектирует то что ранее не находил. и находит то что пропускает защита-почты

Изменено 19 апреля, 2023 пользователем ElvinE5

[Tyson]

4 минуты назад, ElvinE5 сказал:

было бы неплохо узнать КАК закрутили что он детектирует то что ранее не находил

По указанию свыше в компоненте почтовых угроз переключил метод проверки с "Поверхностный" на "Средний", после чего все это и началось. Ослаблять защиту запретили, сказали искать другой способ решения ¯\_(ツ)_/¯

[ElvinE5]

это значение стоит ТАК по умолчанию насколько я понимаю ...

у вас какой компонент находит угрозу ? ранее вы сказали что задача проверки фалов

Спойлер

она уж точно не имеет отношения к работе компонента защиты почты, может там что то настроили ...

защита почты работает с трафиком - не с файлом на диске ...

 

upd:

можно попросить выгрузку политики в формате klt у себя поверить настройки ? если это не запрещено конечно же ...

Изменено 19 апреля, 2023 пользователем ElvinE5

[Tyson]

2 часа назад, ElvinE5 сказал:

у вас какой компонент находит угрозу ? ранее вы сказали что задача проверки фалов

Да, задача проверки файлов и находит угрозу, однако в настройках задачи на проверку я ничего не менял, разве что сменил пункт с "Лечить; удалять, если лечение невозможно" на "Информировать; удалять, если лечение невозможно". Заметил что метод проверки стоит средний. В историях ревизий метод проверки не изменялся, предположу что стоял такой изначально

 

2 часа назад, ElvinE5 сказал:

можно попросить выгрузку политики в формате klt у себя поверить настройки ?

К сожалению не могу, довольно много информации которую нужно удалить. Проще будет перечислить настройки отдельных компонентов, которые вас интересуют

 

upd: А может ли изменение метода проверки в Политике изменить метод проверки в Задаче, только без указании этого в истории ревизий? Ведь я как понимаю они же связаны, т.к. что защита от файловых угроз, что от почтовых используют те же методы проверки, что и задача. 

Изменено 19 апреля, 2023 пользователем Tyson

[ElvinE5]

так ... проверьте как у вас настроена задача поиска вредоносного по ...

 

попробуйте отключить это ...

Спойлер

это

Спойлер

эвристика тут тоже по умолчанию стоит в среднем положении ...

 

попробуйте такие настройки на тестовом устройстве ... приемлемо ли ...

если файл находится уже у базе почты клиента ... значить его пропустили ранее защиты почты (не забываем что наличие KSN облегчает жизнь) ... и с этим надо что то делать ... или же это ложное срабатывание.

 

а задачу можно конвертировать ? там нет "криминала "

 

[Tyson]

40 минут назад, ElvinE5 сказал:

значить его пропустили ранее защиты почты

Да эти письма уже находились на компьютерах пользователей. Некоторые из писем вообще датируются 2007-2009 годами. То ли раньше почта никак не фильтровалась, то ли настраивали так что всё пропускало, но сейчас работаю с тем что есть.

40 минут назад, ElvinE5 сказал:

и с этим надо что то делать

Вот и пытаюсь понять что делать теперь. Оставлять и игнорировать эту заразу не выйдет, вычищать нужно в любом случае, просто надеялся что это можно сделать касперским, а не вручную, но выхода походу нет. Да и вообще вопрос изначально был в другом: 

22 часа назад, Tyson сказал:

Можно ли средствами Касперского заблокировать открытие этих сообщений, чтобы в дальнейшем и сам каспер не обнаружил его снова и пользователь не смог скачать это вложение

 

Что касаемо настроек:

 

Изменено 19 апреля, 2023 пользователем Tyson