Защитный функционал KES 10

[Sandynist]

При прочтении инструкции по борьбе с шифровальщиками с удивлением обнаружил, что в рекомендациях по защите отсутствуют два важнейших расширения — *.xls и   *.xlsx 

 

Зато присутствует расширение  *.lnk 

 

Неужели какому-то гению придёт на ум шифровать ярлыки со ссылками? Написал своё замечание в личном кабинете, надеюсь исправят.

 

И ещё, остаётся открытым вопрос — если троян-загрузчик закачивает на компьютер программу для шифрования, которую сам KES помещает в группу «Доверенные»,  то каким образом работают созданные правила?

Изменено 6 июля, 2016 пользователем Sandynist

[eremeev]

Укажите, пожалуйста, номер запроса.

Спасибо.

[oit]

 

 

И ещё, остаётся открытым вопрос — если троян-загрузчик закачивает на компьютер программу для шифрования, которую сам KES помещает в группу «Доверенные»,  то каким образом работают созданные правила?

у тебя на троян будет ругаться KES.

Вот если твой троян-загрузчик в доверенных будет, тогда он что-угодно будет делать на твоем ПК, но опять же веб-антивирус сработает, если он попытается скачать  вирус, который есть в базе.

Вроде логика должна быть такой.

[Sandynist]

Не убедил.

 

Чтобы ругаться на троян-загрузчик нужны основания. Например — наличие данных о нём в антивирусной базе или в облачном сервисе KSN,  либо вычисление его подозрительных действий проактивными методами.

 

Предположим, что троян-загрузчик абсолютно новый, и не там и не там не засветился. Остаётся надежда на проактивку? И вот он затаскивает на компьютер программу шифрования, которая: а) давным давно всем знакома б) подписана цифровой подписью в) по этим причинам помещается в группу «Доверенные».

 

В этом случае как сработают правила борьбы с шифровальщиками?

[oit]

 

 

Чтобы ругаться на троян-загрузчик нужны основания. Например — наличие данных о нём в антивирусной базе или в облачном сервисе KSN,  либо вычисление его подозрительных действий проактивными методами.

само собой.

у тебя один шанс, что сработает на этапе:

 

 

он затаскивает на компьютер программу шифрования

на этапе:

а) давным давно всем знакома б) подписана цифровой подписью в) по этим причинам помещается в группу «Доверенные».

программа все, что захочет - зашифрует. Поэтому можешь убрать в Контроле активности программ галочку: "Доверять программам, имеющим цифровую подпись"

[Sandynist]

Я об этом и толкую — нужны ли дополнительные настройки к той инструкции, которая вывешена на сайте тех.поддержки, или тех мер уже достаточно.  

 

Учитывая кейс с неуказанием двух важнейших офисных расширений, я полагаю, что и другие моменты создатели инструкции могли не учесть. 

[oit]

Дождемся ответа специалиста ЛК:

1. верно ли я логику понимаю?

2. какие дополнительные настройки могут пригодится к уже имеющейся инструкции согласно заданным дополнительным вопросам?

[Sandynist]

Инструкцию исправили довольно таки оперативно, что даже странно ))

 

Когда на официальном сайте Лаборатории Касперского неправильно отображалась главная страница при входе из нашего региона, то исправления потребовалось ждать почти две недели.

 

 

[oit]

 

 

Инструкцию исправили довольно таки оперативно, что даже странно ))

да это не самое главное))) вот реальные бы баги так исправлялись, а то тянутся из версии к версии ...

[Sandynist]

Кстати, по поводу почтового антивируса молчат уже второй день, отписал багу со скриншотами, добавил к сообщению конфиг с настройками KES — пока ни ответа, ни привета ))

P.S. Спасибо, поржал от души 

[oit]

 

 

P.S. Спасибо, поржал от души 

ну так это к KIS относится. Заполнением могут заниматься разные люди, да и всех ссылок никто не упомнит, поэтому про каждую ссылку нужно отдельно указывать.

[Sandynist]

Написал подробно в ветке бета-тестирования https://forum.kaspersky.com/index.php?showtopic=353768 ,подождём комментариев. На мой запрос тех.поддержка пока так и не ответила.

[Sandynist]

P.S. На офф форуме сообщили, что это бага.

[Sandynist]

 

 

программа все, что захочет - зашифрует. Поэтому можешь убрать в Контроле активности программ галочку: "Доверять программам, имеющим цифровую подпись"

 

Прочитал ещё раз не только этот, но и другой материал. В инструкции для KES нет этого пункта: 

 

 

 

С помощью Сетевого экрана  запретите программам из групп Слабые ограничения, Сильные ограничения и Недоверенные выход в интернет. Таким образом программы-шифровальщики, получающие уникальный ключ для шифрования через интернет, не смогут получить этот ключ и зашифровать файлы.

 

Удивительно пишут инструкции в KL    Но если все их почитать, то можно продукт настроить правильно ))

P.S. То есть если рассуждать логически, то примечание для KIS абсолютно верное, и даже если троян-загрузчик попадёт в группу «Слабые ограничения», то он просто не сможет скачать программу шифрования.

 

Остаётся вариант когда такая программа уже есть на компьютере, ну например — WinRAR.