Перейти к содержанию

Вирусные вложения в почте


Рекомендуемые сообщения

Всем добрый день!

С недавнего времени средствами задачи KSC усилил методы проверки файлов через KES 11.11, вследствие чего начало находиться много вложений из почты, которые входят в состав файла данных Outlook формата .pst и отмечаются в активных угрозах KSC. Если лечить эти угрозы, что зачастую равнозначно удалению, то вместе с этим удаляется и сам файл .pst, а с ним понятное дело вся почта пользователя. Если восстанавливать файл из резервного хранилища, то с ним восстанавливается и зараженное вложение и так по кругу. Вручную удалять такое количество сообщений займет слишком много времени. Исключать проверку по формату файла тоже не вариант, по понятным думаю причинам. Вопрос: Можно ли средствами Касперского заблокировать открытие этих сообщений, чтобы в дальнейшем и сам каспер не обнаружил его снова и пользователь не смог скачать это вложение или же какой другой вариант решения, который я скорее всего упустил?

 

P.s. читал про "Защиту от почтовых угроз", однако если я правильно понял, то поставив пункт "Лечить; блокировать, если лечение невозможно", то к теме сообщения просто добавится текст про зараженное вложение, однако само сообщение и вложение останется доступным, если оно не вылечено.

Ссылка на комментарий
Поделиться на другие сайты

12 часов назад, Tyson сказал:

Если лечить эти угрозы, что зачастую равнозначно удалению, то вместе с этим удаляется и сам файл .pst, а с ним понятное дело вся почта пользователя.

Приветствую!
Копайте в эту сторону. Это так не должно работать. Удаляется письмо, содержимое письма или вложенный файл, НО никак не весь файл данных почтового ящика.

Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, Goddeimos13 сказал:

Приветствую!
Копайте в эту сторону. Это так не должно работать. Удаляется письмо, содержимое письма или вложенный файл, НО никак не весь файл данных почтового ящика.

Так а куда копать? Разве можно задавать правила лечения объектов?

Когда уже создал данную тему нашел это обсуждение на другом форуме, где говорится, что каспер не может удалить отдельное сообщение, а только целиком файл, в чем собственно я убедился на собственном опыте... Получается как по мне остается всего 2 варианта: либо вручную все вычищать, либо исключать файл pst из области проверки.

Ссылка на комментарий
Поделиться на другие сайты

Кажется понял.

В Вашем случае Вы запускаете задачу файлового сканирования. Этот компонент возможно не умеет вычищать *.pst.

Но я лично для защиты почты рекомендую использовать компонент Mail Threat Protection со следующими настройками. Вот он без проблем находит и удаляет malware в письмах (по крайней мере если используется MS Outlook с соответствующей надстройкой).

image.thumb.png.ea4219652aef765a02592669aa6da6fb.png

Ссылка на комментарий
Поделиться на другие сайты

29 минут назад, Goddeimos13 сказал:

В Вашем случае Вы запускаете задачу файлового сканирования.

Все верно, в соответствии с внутренними правилами запускается задача проверки файлов.

29 минут назад, Goddeimos13 сказал:

Но я лично для защиты почты рекомендую использовать компонент Mail Threat Protection со следующими настройками.

Компонент используется, разве что немного более оптимизированный. Единственное что для меня пока непонятно, это подключение расширения для Outlook. Бывший администратор сказал, что однажды это расширение поломало почту нескольким пользователям из-за чего его пришлось отключить. Если судить по описанию саппорта, он выполняет те же функции, что и обычная проверка почты, разве что там добавляется возможность проверки при прочтении письма, так что не совсем понимаю целесообразность включения этого расширения.

image.png

Изменено пользователем Tyson
Ссылка на комментарий
Поделиться на другие сайты

28 минут назад, Goddeimos13 сказал:

(по крайней мере если используется MS Outlook

если используется любой клиент работающий по протоколам POP, SMTP, IMAP, NNTP, а так же включен параметр "проверка защищенных соединений" - если почта проверяется просто через веб - этот компонент не работает.

компонент расширения встраиваемый в OutoLook не работает с х64 версиями офиса, лучше отключить ...иначе это может вызывать зависания в работе интерфейса приложения

 

как правильно подсказывает @Goddeimos13 у вас срабатывает защита от файловых угроз ... вероятно компонент защита от почтовых унроз - не работает корректно

либо

Цитата

С недавнего времени средствами задачи KSC усилил методы проверки файлов через KES 11.11

перестарались с "закручиванием гаек" ... стоит пересмотреть и ослабить ...

было бы неплохо узнать КАК закрутили что он детектирует то что ранее не находил. и находит то что пропускает защита-почты

Изменено пользователем ElvinE5
Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, ElvinE5 сказал:

было бы неплохо узнать КАК закрутили что он детектирует то что ранее не находил

По указанию свыше в компоненте почтовых угроз переключил метод проверки с "Поверхностный" на "Средний", после чего все это и началось. Ослаблять защиту запретили, сказали искать другой способ решения ¯\_(ツ)_/¯

image.png

Ссылка на комментарий
Поделиться на другие сайты

это значение стоит ТАК по умолчанию насколько я понимаю ...

у вас какой компонент находит угрозу ? ранее вы сказали что задача проверки фалов

Спойлер

1702936025_.thumb.png.02243965e7b573ba570c3bed8557388d.png

она уж точно не имеет отношения к работе компонента защиты почты, может там что то настроили ...

защита почты работает с трафиком - не с файлом на диске ...

 

upd:

можно попросить выгрузку политики в формате klt у себя поверить настройки ? если это не запрещено конечно же ...

Изменено пользователем ElvinE5
Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, ElvinE5 сказал:

у вас какой компонент находит угрозу ? ранее вы сказали что задача проверки фалов

Да, задача проверки файлов и находит угрозу, однако в настройках задачи на проверку я ничего не менял, разве что сменил пункт с "Лечить; удалять, если лечение невозможно" на "Информировать; удалять, если лечение невозможно". Заметил что метод проверки стоит средний. В историях ревизий метод проверки не изменялся, предположу что стоял такой изначально

 

2 часа назад, ElvinE5 сказал:

можно попросить выгрузку политики в формате klt у себя поверить настройки ?

К сожалению не могу, довольно много информации которую нужно удалить. Проще будет перечислить настройки отдельных компонентов, которые вас интересуют

 

upd: А может ли изменение метода проверки в Политике изменить метод проверки в Задаче, только без указании этого в истории ревизий? Ведь я как понимаю они же связаны, т.к. что защита от файловых угроз, что от почтовых используют те же методы проверки, что и задача. 

Изменено пользователем Tyson
Ссылка на комментарий
Поделиться на другие сайты

так ... проверьте как у вас настроена задача поиска вредоносного по ...

 

попробуйте отключить это ...

Спойлер

1730340066_.thumb.png.d0062e671cdcea9148be8a5aff257676.png

это

Спойлер

914802001_.thumb.png.b55c3b3457360a71cae94df39a068d56.png

эвристика тут тоже по умолчанию стоит в среднем положении ...

 

попробуйте такие настройки на тестовом устройстве ... приемлемо ли ...

если файл находится уже у базе почты клиента ... значить его пропустили ранее защиты почты (не забываем что наличие KSN облегчает жизнь) ... и с этим надо что то делать ... или же это ложное срабатывание.

 

а задачу можно конвертировать :) ? там нет "криминала "

 

Ссылка на комментарий
Поделиться на другие сайты

40 минут назад, ElvinE5 сказал:

значить его пропустили ранее защиты почты

Да эти письма уже находились на компьютерах пользователей. Некоторые из писем вообще датируются 2007-2009 годами. То ли раньше почта никак не фильтровалась, то ли настраивали так что всё пропускало, но сейчас работаю с тем что есть.

40 минут назад, ElvinE5 сказал:

и с этим надо что то делать

Вот и пытаюсь понять что делать теперь. Оставлять и игнорировать эту заразу не выйдет, вычищать нужно в любом случае, просто надеялся что это можно сделать касперским, а не вручную, но выхода походу нет. Да и вообще вопрос изначально был в другом: 

22 часа назад, Tyson сказал:

Можно ли средствами Касперского заблокировать открытие этих сообщений, чтобы в дальнейшем и сам каспер не обнаружил его снова и пользователь не смог скачать это вложение

 

Что касаемо настроек:

 

image.png

Изменено пользователем Tyson
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • yare4kaa
      От yare4kaa
      Здравствуйте, был в рейсе и не чистил пк от вирусов, заразился много фигней, нужна помощь специалистов.
      Логи ниже CollectionLog-2024.11.25-18.32.zip
    • Алексей Андронов
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • KrivosheevYS
      От KrivosheevYS
      Здравствуйте!
      Поймали шифратор Neshto, зашифрованы файлы в корне папок диска (вложенные папки остались не повреждены)! расширение .XEXK просим о помощи в расшифровке.
      Файл с логами прилагается.
      Neshta.rar
    • AL_o
      От AL_o
      Добрый день.
      Моя цель рассказать о неприятной для меня ситуации чтобы предотвратить такую в будущем для других. Может кто то мне поможет донести информацию куда следует? А может Компанию полностью устраивают такие ситуации.
       
      Я сотрудник организации, помимо прочего отвечающий за мобильную связь в организации. Помимо прочих операторов мы сотрудничаем с мегафоном и часть корпоративных симок от него. На днях бухгалтерия внезапно получила по эдо счёт-фактуру согласно которой мегафон продал нам продукт лаборатории каперского. Начали выяснять... В общем либо это тонкая подстава призванная очернить доброе имя лаборатории (или просто им воспользоваться), либо лаборатория перешла на "нажми на кнопку на сайте - получи подписку со списанием со счёта мобильного оператора" способ распространения. Позиция мегафона типична для оператора, допускающего различные подписки и списания на внешних ресурсах - меня убеждают что это абонент сам согласился, расписался кровью и т.п., что услуга ему жизненно необходима, а мегафон просто предоставил удобнейший для распространения канал - тык и готово. Но искренне интересна позиция лаборатории. Допуская что этот кейс реален - человек со своего личного мобильного устройства, но пользуясь корпоративной сим-картой заходит на опасный (!) веб сайт где касперский услужливо предлагает ему купить антивирус для трёх устройств и оплатить случайным нажатием пальца со общего счёта компании..? Абонент клянётся что если и было что то - то мимолётом, с большой кнопкой да и мааааленьким крестиком в углу как всегда бывает у замечательных мобильных подписок. Каков кейс данного продукта если на секундочку предположить что это было осознанно. На состояние телефона компании плевать. На состояние счёта кампании должно быть плевать сотруднику. Мегафон+касперский - соединяя несоединяемое.
       
      Благодарю за ваше время. Надеюсь на вашу помощь в донесении информации до кого надо и предотвращения возвращения в нулевые со всеми этими мобильными подписками. Хотя бы не от лаборатории касперского блин!


    • Stillegoth
      От Stillegoth
      Друзья, прошу помощи! Кто-то словил заразу и вот такая оказия. Самая жесть, что ни на почту, ни на Телеграм не отвечают. Что можно сделать? Спасите! Во вложении зашифрованные файлы и письмо.
      Договор АВАНТ ООО.pdf Restore-My-Files.txt ООО Компания Тензор лицензионный договор и договор купли-продажи № 88221....pdf
×
×
  • Создать...