Перейти к содержанию

Вирусные вложения в почте


Рекомендуемые сообщения

Всем добрый день!

С недавнего времени средствами задачи KSC усилил методы проверки файлов через KES 11.11, вследствие чего начало находиться много вложений из почты, которые входят в состав файла данных Outlook формата .pst и отмечаются в активных угрозах KSC. Если лечить эти угрозы, что зачастую равнозначно удалению, то вместе с этим удаляется и сам файл .pst, а с ним понятное дело вся почта пользователя. Если восстанавливать файл из резервного хранилища, то с ним восстанавливается и зараженное вложение и так по кругу. Вручную удалять такое количество сообщений займет слишком много времени. Исключать проверку по формату файла тоже не вариант, по понятным думаю причинам. Вопрос: Можно ли средствами Касперского заблокировать открытие этих сообщений, чтобы в дальнейшем и сам каспер не обнаружил его снова и пользователь не смог скачать это вложение или же какой другой вариант решения, который я скорее всего упустил?

 

P.s. читал про "Защиту от почтовых угроз", однако если я правильно понял, то поставив пункт "Лечить; блокировать, если лечение невозможно", то к теме сообщения просто добавится текст про зараженное вложение, однако само сообщение и вложение останется доступным, если оно не вылечено.

Ссылка на сообщение
Поделиться на другие сайты
12 часов назад, Tyson сказал:

Если лечить эти угрозы, что зачастую равнозначно удалению, то вместе с этим удаляется и сам файл .pst, а с ним понятное дело вся почта пользователя.

Приветствую!
Копайте в эту сторону. Это так не должно работать. Удаляется письмо, содержимое письма или вложенный файл, НО никак не весь файл данных почтового ящика.

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Goddeimos13 сказал:

Приветствую!
Копайте в эту сторону. Это так не должно работать. Удаляется письмо, содержимое письма или вложенный файл, НО никак не весь файл данных почтового ящика.

Так а куда копать? Разве можно задавать правила лечения объектов?

Когда уже создал данную тему нашел это обсуждение на другом форуме, где говорится, что каспер не может удалить отдельное сообщение, а только целиком файл, в чем собственно я убедился на собственном опыте... Получается как по мне остается всего 2 варианта: либо вручную все вычищать, либо исключать файл pst из области проверки.

Ссылка на сообщение
Поделиться на другие сайты

Кажется понял.

В Вашем случае Вы запускаете задачу файлового сканирования. Этот компонент возможно не умеет вычищать *.pst.

Но я лично для защиты почты рекомендую использовать компонент Mail Threat Protection со следующими настройками. Вот он без проблем находит и удаляет malware в письмах (по крайней мере если используется MS Outlook с соответствующей надстройкой).

image.thumb.png.ea4219652aef765a02592669aa6da6fb.png

Ссылка на сообщение
Поделиться на другие сайты
29 минут назад, Goddeimos13 сказал:

В Вашем случае Вы запускаете задачу файлового сканирования.

Все верно, в соответствии с внутренними правилами запускается задача проверки файлов.

29 минут назад, Goddeimos13 сказал:

Но я лично для защиты почты рекомендую использовать компонент Mail Threat Protection со следующими настройками.

Компонент используется, разве что немного более оптимизированный. Единственное что для меня пока непонятно, это подключение расширения для Outlook. Бывший администратор сказал, что однажды это расширение поломало почту нескольким пользователям из-за чего его пришлось отключить. Если судить по описанию саппорта, он выполняет те же функции, что и обычная проверка почты, разве что там добавляется возможность проверки при прочтении письма, так что не совсем понимаю целесообразность включения этого расширения.

image.png

Изменено пользователем Tyson
Ссылка на сообщение
Поделиться на другие сайты
28 минут назад, Goddeimos13 сказал:

(по крайней мере если используется MS Outlook

если используется любой клиент работающий по протоколам POP, SMTP, IMAP, NNTP, а так же включен параметр "проверка защищенных соединений" - если почта проверяется просто через веб - этот компонент не работает.

компонент расширения встраиваемый в OutoLook не работает с х64 версиями офиса, лучше отключить ...иначе это может вызывать зависания в работе интерфейса приложения

 

как правильно подсказывает @Goddeimos13 у вас срабатывает защита от файловых угроз ... вероятно компонент защита от почтовых унроз - не работает корректно

либо

Цитата

С недавнего времени средствами задачи KSC усилил методы проверки файлов через KES 11.11

перестарались с "закручиванием гаек" ... стоит пересмотреть и ослабить ...

было бы неплохо узнать КАК закрутили что он детектирует то что ранее не находил. и находит то что пропускает защита-почты

Изменено пользователем ElvinE5
Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, ElvinE5 сказал:

было бы неплохо узнать КАК закрутили что он детектирует то что ранее не находил

По указанию свыше в компоненте почтовых угроз переключил метод проверки с "Поверхностный" на "Средний", после чего все это и началось. Ослаблять защиту запретили, сказали искать другой способ решения ¯\_(ツ)_/¯

image.png

Ссылка на сообщение
Поделиться на другие сайты

это значение стоит ТАК по умолчанию насколько я понимаю ...

у вас какой компонент находит угрозу ? ранее вы сказали что задача проверки фалов

Спойлер

1702936025_.thumb.png.02243965e7b573ba570c3bed8557388d.png

она уж точно не имеет отношения к работе компонента защиты почты, может там что то настроили ...

защита почты работает с трафиком - не с файлом на диске ...

 

upd:

можно попросить выгрузку политики в формате klt у себя поверить настройки ? если это не запрещено конечно же ...

Изменено пользователем ElvinE5
Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, ElvinE5 сказал:

у вас какой компонент находит угрозу ? ранее вы сказали что задача проверки фалов

Да, задача проверки файлов и находит угрозу, однако в настройках задачи на проверку я ничего не менял, разве что сменил пункт с "Лечить; удалять, если лечение невозможно" на "Информировать; удалять, если лечение невозможно". Заметил что метод проверки стоит средний. В историях ревизий метод проверки не изменялся, предположу что стоял такой изначально

 

2 часа назад, ElvinE5 сказал:

можно попросить выгрузку политики в формате klt у себя поверить настройки ?

К сожалению не могу, довольно много информации которую нужно удалить. Проще будет перечислить настройки отдельных компонентов, которые вас интересуют

 

upd: А может ли изменение метода проверки в Политике изменить метод проверки в Задаче, только без указании этого в истории ревизий? Ведь я как понимаю они же связаны, т.к. что защита от файловых угроз, что от почтовых используют те же методы проверки, что и задача. 

Изменено пользователем Tyson
Ссылка на сообщение
Поделиться на другие сайты

так ... проверьте как у вас настроена задача поиска вредоносного по ...

 

попробуйте отключить это ...

Спойлер

1730340066_.thumb.png.d0062e671cdcea9148be8a5aff257676.png

это

Спойлер

914802001_.thumb.png.b55c3b3457360a71cae94df39a068d56.png

эвристика тут тоже по умолчанию стоит в среднем положении ...

 

попробуйте такие настройки на тестовом устройстве ... приемлемо ли ...

если файл находится уже у базе почты клиента ... значить его пропустили ранее защиты почты (не забываем что наличие KSN облегчает жизнь) ... и с этим надо что то делать ... или же это ложное срабатывание.

 

а задачу можно конвертировать :) ? там нет "криминала "

 

Ссылка на сообщение
Поделиться на другие сайты
40 минут назад, ElvinE5 сказал:

значить его пропустили ранее защиты почты

Да эти письма уже находились на компьютерах пользователей. Некоторые из писем вообще датируются 2007-2009 годами. То ли раньше почта никак не фильтровалась, то ли настраивали так что всё пропускало, но сейчас работаю с тем что есть.

40 минут назад, ElvinE5 сказал:

и с этим надо что то делать

Вот и пытаюсь понять что делать теперь. Оставлять и игнорировать эту заразу не выйдет, вычищать нужно в любом случае, просто надеялся что это можно сделать касперским, а не вручную, но выхода походу нет. Да и вообще вопрос изначально был в другом: 

22 часа назад, Tyson сказал:

Можно ли средствами Касперского заблокировать открытие этих сообщений, чтобы в дальнейшем и сам каспер не обнаружил его снова и пользователь не смог скачать это вложение

 

Что касаемо настроек:

 

image.png

Изменено пользователем Tyson
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • ARTEMIS
      От ARTEMIS
      В браузере самостоятельно устанавливается дополнение Find it, T-cashback. Удаляю, но при следующем запуске браузера оно снова в расширениях 
      cure it и malwarebytes не помогает, находит их но не лечит
      Помогите удалить гадости эти.
    • sova.prod123
      От sova.prod123
      Всем здравствуйте. Поймал майнер при закачке программы Soundpad, неполадки обнаружил только спустя пару часов, сильная нагрузка на пк без причины. Попытки что-то вылечить самостоятельно не увенчались успехом: RougeKiller установить не удаётся, вирус не дает этого сделать, сворачивает командную строку при попытке подлезть в систему, диспетчер задач. В безопасном режиме вирус господствует точно так же, сворачивает абсолютно все окна при одном только упоминании, нет доступа к некоторым фаилам в системе,а так если повезёт - продержится диспетчер задач, но в нем нельзя будет остановить чужеродные процессы, так как просто нет прав. Попытался при помощи образа с флэшки что-то найти Dr.Web'om, найти то он нашел, вот толку особо не было, пробовал ещё кое-как использовать emsisoft anti-malware, он тоже что-то нашел, но проблема не решилась, касперским тоже пробовал искать, он так же нашел что-то, вроде как удалил, но эффекта нет
      . Прикрепляю логи ниже, надеюсь на вашу поддержку
      CollectionLog-2024.05.26-00.13.zip
    • sem1131313
      От sem1131313
      Поймал майнер, грузит комп. Не дает войти в program data/msconfig
    • Salieri
      От Salieri
      Здраствуйте, заметил что система начала тормозить и стали появляться глюки после открытия странного ехе, прошу помощи.CollectionLog-2024.05.21-00.03.zip
    • shirosempay
      От shirosempay
      Пару дней назад у меня украли аккаунт в Steam,не думал что у меня вирус на компе. Сегодня же при включении пк увидел консоль,и через пару часов в Discord Всем моим чатам отправилась какая-то реклама.
      Увидел на вашем форуме программу Avbr,при ее запуске и начале скана,комп нагружается,лагает,пытается выключить прогу,а после пишет что то насчет кэша microsoft edge и перезагружается,не знаю что и делать,помогите пожалуйста(
×
×
  • Создать...