تشخیص اشتباه ضدباج‌گیر آنتی‌ویروس کسپراسکی HEUR:Trojan.Multi.Crypren.gen

مساله

  1. شما یک سرور دارید که آنتی‌ویروس کسپراسکی روی آن نصب است و تعدادی پوشه نیز Share کرده‌اید.
  2. روی یک سیستم دیگر در شبکه آنتی‌ویروس پادویش یا ضدباج‌گیر پادویش نصب کرده‌اید.
  3. در هنگام دسترسی و ویرایش فایل‌های موجود در فولدر اشتراکی سرور، ارتباط قطع شده و لاگ زیر در آنتی‌ویروس کسپراسکی درج می‌شود:
File Threat Protection - HEUR:Trojan.Multi.Crypren.gen - <Path to shared file>.CryptoBackup

این اتفاق در نسخه‌هایی از کسپراسکی که دارای ماژول AntiCryptor می‌باشند (به عنوان مثال نسخه Kaspersky Security for Windows Server اتفاق می‌افتد.

علت مساله

علت مساله اشتباه در ماژول تشخیص باج‌افزار آنتی‌ویروس کسپراسکی می‌باشد. به طور کلی ماژول AntiCryptor کسپراسکی که وظیفه این تشخیص را برعهده دارد، در صورت مشاهده رفتار زیر آن را به عنوان HEUR:Trojan.Multi.Crypren.gen تشخیص می‌دهد:

  • ساخته شدن فایل جدید در فولدر اشتراکی که با فایل قبلی هم‌نام بوده و پسوند متفاوتی داشته باشد.

این تشخیص وابسته به محتوای فایل یا عملیات رمزنگاری نبوده و صرفا به نام فایل وابسته است و به سادگی با چندبار کپی یک فایل در فولدر اشتراکی با پسوندهای مختلف قابل ایجاد می‌باشد.

این روش تشخیص در کسپراسکی، با رفتار بکاپگیری موقت در لایه محافظت اطلاعات ضدباج‌گیر پادویش تداخل ایجاد کرده و آن را به عنوان بدافزار تشخیص می‌دهد:

  • لایه محافظت اطلاعات در ضدباج‌گیر پادویش در شرایط خاصی از فایل اصلی یک بکاپ موقت با پسوند CryptoBackup تهیه می‌کند.

راهکار

جهت رفع تشخیص اشتباه، می‌توانید در تنظیمات آنتی‌ویروس کسپراسکی پسوند CryptoBackup را استثنا نمایید:

  1. به تنظیمات ماژول AntiCryptor مراجعه کنید.
  2. بخش Exclusion List را باز نمایید.
  3. پسوند *.CryptoBackup را وارد نمایید.
  4. تمام پنجره‌ها را با OK ببندید.

لینک راهنمای تنظیمات در سایت کسپراسکی: https://support.kaspersky.com/KSWS/11/en-US/193127.htm (پادویش مسئول محتوای لینک‌های بیرونی نمی‌باشد)

همانگونه در لینک راهنمای کسپراسکی آمده است، کسپراسکی به صورت پیش‌فرض پسوندهای sldprt، exe و دو پسوند دیگر را از این نحوه تشخیص استثنا کرده است که نشانگر تداخل آن با نرم‌افزارهای دیگری از جمله SolidWorks می‌باشد.

توضیحات تکمیلی

لازم به تاکید است که از آنجاییکه نحوه تشخیص کسپراسکی صرفا برحسب نام فایل می‌باشد و این روش مستعد خطای تشخیص بالا و تداخل با نرم‌افزارهای بسیاری است؛ به همین علت کسپراسکی در ماژول AntiCryptor یک لیست پیش‌فرض استثنا تعریف نموده است که شامل موارد زیر است: (منبع https://support.kaspersky.com/KSWS/11/en-US/193127.htm)

  • stt – پسوند نرم‌افزار آماری SPSS
  • exe – پسوند فایل‌های اجرایی ویندوز
  • sig – پسوند مورد استفاده در نرم‌افزارهای ایمیل
  • sldprt – پسوند نرم‌افزار Solid Works
  • و …

آنچه شما اضافه می‌کنید یک استثنای جدید در لیست بالا می‌باشد.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>