مساله
- شما یک سرور دارید که آنتیویروس کسپراسکی روی آن نصب است و تعدادی پوشه نیز Share کردهاید.
- روی یک سیستم دیگر در شبکه آنتیویروس پادویش یا ضدباجگیر پادویش نصب کردهاید.
- در هنگام دسترسی و ویرایش فایلهای موجود در فولدر اشتراکی سرور، ارتباط قطع شده و لاگ زیر در آنتیویروس کسپراسکی درج میشود:
File Threat Protection - HEUR:Trojan.Multi.Crypren.gen - <Path to shared file>.CryptoBackup
این اتفاق در نسخههایی از کسپراسکی که دارای ماژول AntiCryptor میباشند (به عنوان مثال نسخه Kaspersky Security for Windows Server اتفاق میافتد.
راهکار سریع
نسخه ضدباجگیر پادویش خود را ارتقا دهید.
با وجود اینکه علت این مساله یک ایراد در روش تشخیص مبتنی بر نام فایل در کسپراسکی میباشد، اما در محصولات زیر، نام فایل بکاپ تغییر کرده است تا این ایراد کسپراسکی پوشش داده شده و دیگر هشدار اشتباه صادر نشود:
- ضدباجگیر پادویش در نسخههای ۱.۵.۱۶۹.۱۱۳۷ و بالاتر
- ضدویروس پادویش در نسخههای ۲.۹.۱۳۴.۸۰۰۱ و بالاتر
علت مساله
علت مساله اشتباه در ماژول تشخیص باجافزار آنتیویروس کسپراسکی میباشد. به طور کلی ماژول AntiCryptor کسپراسکی که وظیفه این تشخیص را برعهده دارد، در صورت مشاهده رفتار زیر آن را به عنوان HEUR:Trojan.Multi.Crypren.gen تشخیص میدهد:
- ساخته شدن فایل جدید در فولدر اشتراکی که با فایل قبلی همنام بوده و پسوند متفاوتی داشته باشد.
این تشخیص هیچ ارتباطی به محتوای فایل یا عملیات رمزنگاری نداشته و صرفا به «نام فایل» وابسته است و به سادگی با چندبار کپی یک فایل در فولدر اشتراکی با پسوندهای مختلف قابل ایجاد میباشد.
به عنوان مثال اسکریپت ساده زیر موجب هشدار کسپراسکی و بسته شدن فولدر Share میشود:
Copy SomeFile.png \\192.168.1.1\share\SomeFile.png Copy SomeFile.png \\192.168.1.1\share\SomeFile.png.test
این اسکریپت صرفا یک فایل png سالم را در یک پوشه اشتراکی کپی میکند، اما از آنجاکه در کپی دوم، نام فایل دارای یک پسوند اضافهتر (در اینجا test) میباشد توسط کسپراسکی به عنوان باجافزار شناسایی میشود. (استفاده از کلمه test به عنوان مثال بوده و هر پسوند دیگری همین رفتار را دارد) حتی کپی دستی دو فایل با چنین نامهایی فارغ از محتوای آنها منجر به این تشخیص اشتباه میشود.
جالب اینجاست که این مکانیزم تشخیص با نرمافزارهای معروفی مانند SolidWorks و SPSS Statistics، انواع کلاینتهای ایمیل و … نیز تداخل داشته و منجر به تشخیص اشتباه میشود. راه حل کسپراسکی برای رفع این تداخلها، قرار دادن یک لیست استثنائات ثابت در محصولاتش است که پسوندهای مورد استفاده در این نرمافزارها (مانند stt, sldprt, sig و حتی پسوند exe) را تراست نموده و در خصوص آنها هشداری صادر نمیکند.
از آنجا که لایه محافظت اطلاعات در ضدباجگیر پادویش در شرایط خاصی از فایل اصلی یک بکاپ موقت با پسوند CryptoBackup تهیه میکند، این اشکال کسپراسکی در خصوص این فایل نیز رخ میدهد. نسخه جدید پادویش با تغییر این پسوند این ایراد را پوشش داده و آن را دور میزند.
راهکار
* ضدباجگیر پادویش در نسخههای ۱.۵.۱۶۹.۱۱۳۷ و بالاتر
* ضدویروس پادویش در نسخههای ۲.۹.۱۳۴.۸۰۰۱ و بالاتر
جهت رفع تشخیص اشتباه، میتوانید در تنظیمات آنتیویروس کسپراسکی پسوند CryptoBackup را استثنا نمایید:
- به تنظیمات ماژول
AntiCryptor
مراجعه کنید. - بخش
Exclusion List
را باز نمایید. - پسوند
*.CryptoBackup
را وارد نمایید. - تمام پنجرهها را با OK ببندید.
لینک راهنمای تنظیمات در سایت کسپراسکی: https://support.kaspersky.com/KSWS/11/en-US/193127.htm (پادویش مسئول محتوای لینکهای بیرونی نمیباشد)
توضیحات تکمیلی
لازم به تاکید است که از آنجاییکه نحوه تشخیص کسپراسکی صرفا برحسب نام فایل میباشد و این روش مستعد خطای تشخیص بالا و تداخل با نرمافزارهای بسیاری است؛ به همین علت کسپراسکی در ماژول AntiCryptor یک لیست پیشفرض استثنا تعریف نموده است که شامل موارد زیر است: (منبع https://support.kaspersky.com/KSWS/11/en-US/193127.htm)
- stt – پسوند نرمافزار آماری SPSS
- exe – پسوند فایلهای اجرایی ویندوز
- sig – پسوند مورد استفاده در نرمافزارهای ایمیل
- sldprt – پسوند نرمافزار Solid Works
- و …
آنچه شما اضافه میکنید یک استثنای جدید در لیست بالا میباشد.