Вирусные вложения в почте

[Tyson]

Всем добрый день!

С недавнего времени средствами задачи KSC усилил методы проверки файлов через KES 11.11, вследствие чего начало находиться много вложений из почты, которые входят в состав файла данных Outlook формата .pst и отмечаются в активных угрозах KSC. Если лечить эти угрозы, что зачастую равнозначно удалению, то вместе с этим удаляется и сам файл .pst, а с ним понятное дело вся почта пользователя. Если восстанавливать файл из резервного хранилища, то с ним восстанавливается и зараженное вложение и так по кругу. Вручную удалять такое количество сообщений займет слишком много времени. Исключать проверку по формату файла тоже не вариант, по понятным думаю причинам. Вопрос: Можно ли средствами Касперского заблокировать открытие этих сообщений, чтобы в дальнейшем и сам каспер не обнаружил его снова и пользователь не смог скачать это вложение или же какой другой вариант решения, который я скорее всего упустил?

 

P.s. читал про "Защиту от почтовых угроз", однако если я правильно понял, то поставив пункт "Лечить; блокировать, если лечение невозможно", то к теме сообщения просто добавится текст про зараженное вложение, однако само сообщение и вложение останется доступным, если оно не вылечено.

[Goddeimos13]

  В 18.04.2023 в 13:14, Tyson сказал:

Если лечить эти угрозы, что зачастую равнозначно удалению, то вместе с этим удаляется и сам файл .pst, а с ним понятное дело вся почта пользователя.

Показать  

Приветствую!
Копайте в эту сторону. Это так не должно работать. Удаляется письмо, содержимое письма или вложенный файл, НО никак не весь файл данных почтового ящика.

[Tyson]

  В 19.04.2023 в 02:04, Goddeimos13 сказал:

Приветствую!
Копайте в эту сторону. Это так не должно работать. Удаляется письмо, содержимое письма или вложенный файл, НО никак не весь файл данных почтового ящика.

Показать  

Так а куда копать? Разве можно задавать правила лечения объектов?

Когда уже создал данную тему нашел это обсуждение на другом форуме, где говорится, что каспер не может удалить отдельное сообщение, а только целиком файл, в чем собственно я убедился на собственном опыте... Получается как по мне остается всего 2 варианта: либо вручную все вычищать, либо исключать файл pst из области проверки.

[Goddeimos13]

Кажется понял.

В Вашем случае Вы запускаете задачу файлового сканирования. Этот компонент возможно не умеет вычищать *.pst.

Но я лично для защиты почты рекомендую использовать компонент Mail Threat Protection со следующими настройками. Вот он без проблем находит и удаляет malware в письмах (по крайней мере если используется MS Outlook с соответствующей надстройкой).

[Tyson]

  В 19.04.2023 в 06:25, Goddeimos13 сказал:

В Вашем случае Вы запускаете задачу файлового сканирования.

Показать  

Все верно, в соответствии с внутренними правилами запускается задача проверки файлов.

  В 19.04.2023 в 06:25, Goddeimos13 сказал:

Но я лично для защиты почты рекомендую использовать компонент Mail Threat Protection со следующими настройками.

Показать  

Компонент используется, разве что немного более оптимизированный. Единственное что для меня пока непонятно, это подключение расширения для Outlook. Бывший администратор сказал, что однажды это расширение поломало почту нескольким пользователям из-за чего его пришлось отключить. Если судить по описанию саппорта, он выполняет те же функции, что и обычная проверка почты, разве что там добавляется возможность проверки при прочтении письма, так что не совсем понимаю целесообразность включения этого расширения.

Изменено 19 апреля, 2023 пользователем Tyson

[ElvinE5]

  В 19.04.2023 в 06:25, Goddeimos13 сказал:

(по крайней мере если используется MS Outlook

Показать  

если используется любой клиент работающий по протоколам POP, SMTP, IMAP, NNTP, а так же включен параметр "проверка защищенных соединений" - если почта проверяется просто через веб - этот компонент не работает.

компонент расширения встраиваемый в OutoLook не работает с х64 версиями офиса, лучше отключить ...иначе это может вызывать зависания в работе интерфейса приложения

 

как правильно подсказывает @Goddeimos13 у вас срабатывает защита от файловых угроз ... вероятно компонент защита от почтовых унроз - не работает корректно

либо

  Цитата

С недавнего времени средствами задачи KSC усилил методы проверки файлов через KES 11.11

Показать  

перестарались с "закручиванием гаек" ... стоит пересмотреть и ослабить ...

было бы неплохо узнать КАК закрутили что он детектирует то что ранее не находил. и находит то что пропускает защита-почты

Изменено 19 апреля, 2023 пользователем ElvinE5

[Tyson]

  В 19.04.2023 в 06:52, ElvinE5 сказал:

было бы неплохо узнать КАК закрутили что он детектирует то что ранее не находил

Показать  

По указанию свыше в компоненте почтовых угроз переключил метод проверки с "Поверхностный" на "Средний", после чего все это и началось. Ослаблять защиту запретили, сказали искать другой способ решения ¯\_(ツ)_/¯

[ElvinE5]

это значение стоит ТАК по умолчанию насколько я понимаю ...

у вас какой компонент находит угрозу ? ранее вы сказали что задача проверки фалов

  Показать контент

она уж точно не имеет отношения к работе компонента защиты почты, может там что то настроили ...

защита почты работает с трафиком - не с файлом на диске ...

 

upd:

можно попросить выгрузку политики в формате klt у себя поверить настройки ? если это не запрещено конечно же ...

Изменено 19 апреля, 2023 пользователем ElvinE5

[Tyson]

  В 19.04.2023 в 07:17, ElvinE5 сказал:

у вас какой компонент находит угрозу ? ранее вы сказали что задача проверки фалов

Показать  

Да, задача проверки файлов и находит угрозу, однако в настройках задачи на проверку я ничего не менял, разве что сменил пункт с "Лечить; удалять, если лечение невозможно" на "Информировать; удалять, если лечение невозможно". Заметил что метод проверки стоит средний. В историях ревизий метод проверки не изменялся, предположу что стоял такой изначально

 

  В 19.04.2023 в 07:17, ElvinE5 сказал:

можно попросить выгрузку политики в формате klt у себя поверить настройки ?

Показать  

К сожалению не могу, довольно много информации которую нужно удалить. Проще будет перечислить настройки отдельных компонентов, которые вас интересуют

 

upd: А может ли изменение метода проверки в Политике изменить метод проверки в Задаче, только без указании этого в истории ревизий? Ведь я как понимаю они же связаны, т.к. что защита от файловых угроз, что от почтовых используют те же методы проверки, что и задача. 

Изменено 19 апреля, 2023 пользователем Tyson

[ElvinE5]

так ... проверьте как у вас настроена задача поиска вредоносного по ...

 

попробуйте отключить это ...

  Показать контент

это

  Показать контент

эвристика тут тоже по умолчанию стоит в среднем положении ...

 

попробуйте такие настройки на тестовом устройстве ... приемлемо ли ...

если файл находится уже у базе почты клиента ... значить его пропустили ранее защиты почты (не забываем что наличие KSN облегчает жизнь) ... и с этим надо что то делать ... или же это ложное срабатывание.

 

а задачу можно конвертировать ? там нет "криминала "

 

[Tyson]

  В 19.04.2023 в 10:33, ElvinE5 сказал:

значить его пропустили ранее защиты почты

Показать  

Да эти письма уже находились на компьютерах пользователей. Некоторые из писем вообще датируются 2007-2009 годами. То ли раньше почта никак не фильтровалась, то ли настраивали так что всё пропускало, но сейчас работаю с тем что есть.

  В 19.04.2023 в 10:33, ElvinE5 сказал:

и с этим надо что то делать

Показать  

Вот и пытаюсь понять что делать теперь. Оставлять и игнорировать эту заразу не выйдет, вычищать нужно в любом случае, просто надеялся что это можно сделать касперским, а не вручную, но выхода походу нет. Да и вообще вопрос изначально был в другом: 

  В 18.04.2023 в 13:14, Tyson сказал:

Можно ли средствами Касперского заблокировать открытие этих сообщений, чтобы в дальнейшем и сам каспер не обнаружил его снова и пользователь не смог скачать это вложение

Показать  

 

Что касаемо настроек:

 

Изменено 19 апреля, 2023 пользователем Tyson