تشخیص اشتباه ضدباجگیر آنتیویروس کسپراسکی HEUR:Trojan.Multi.Crypren.gen
مساله
- شما یک سرور دارید که آنتیویروس کسپراسکی روی آن نصب است و تعدادی پوشه نیز Share کردهاید.
- روی یک سیستم دیگر در شبکه آنتیویروس پادویش یا ضدباجگیر پادویش نصب کردهاید.
- در هنگام دسترسی و ویرایش فایلهای موجود در فولدر اشتراکی سرور، ارتباط قطع شده و لاگ زیر در آنتیویروس کسپراسکی درج میشود:
File Threat Protection - HEUR:Trojan.Multi.Crypren.gen - <Path to shared file>.CryptoBackup
این اتفاق در نسخههایی از کسپراسکی که دارای ماژول AntiCryptor میباشند (به عنوان مثال نسخه Kaspersky Security for Windows Server اتفاق میافتد.
راهکار سریع
نسخه ضدباجگیر پادویش خود را ارتقا دهید.
با وجود اینکه علت این مساله یک ایراد در روش تشخیص مبتنی بر نام فایل در کسپراسکی میباشد، اما در محصولات زیر، نام فایل بکاپ تغییر کرده است تا این ایراد کسپراسکی پوشش داده شده و دیگر هشدار اشتباه صادر نشود:
- ضدباجگیر پادویش در نسخههای ۱.۵.۱۶۹.۱۱۳۷ و بالاتر
- ضدویروس پادویش در نسخههای ۲.۹.۱۳۴.۸۰۰۱ و بالاتر
علت مساله
علت مساله اشتباه در ماژول تشخیص باجافزار آنتیویروس کسپراسکی میباشد. به طور کلی ماژول AntiCryptor کسپراسکی که وظیفه این تشخیص را برعهده دارد، در صورت مشاهده رفتار زیر آن را به عنوان HEUR:Trojan.Multi.Crypren.gen تشخیص میدهد:
- ساخته شدن فایل جدید در فولدر اشتراکی که با فایل قبلی همنام بوده و پسوند متفاوتی داشته باشد.
این تشخیص هیچ ارتباطی به محتوای فایل یا عملیات رمزنگاری نداشته و صرفا به «نام فایل» وابسته است و به سادگی با چندبار کپی یک فایل در فولدر اشتراکی با پسوندهای مختلف قابل ایجاد میباشد.
به عنوان مثال اسکریپت ساده زیر موجب هشدار کسپراسکی و بسته شدن فولدر Share میشود:
Copy SomeFile.png \\192.168.1.1\share\SomeFile.png Copy SomeFile.png \\192.168.1.1\share\SomeFile.png.test
این اسکریپت صرفا یک فایل png سالم را در یک پوشه اشتراکی کپی میکند، اما از آنجاکه در کپی دوم، نام فایل دارای یک پسوند اضافهتر (در اینجا test) میباشد توسط کسپراسکی به عنوان باجافزار شناسایی میشود. (استفاده از کلمه test به عنوان مثال بوده و هر پسوند دیگری همین رفتار را دارد) حتی کپی دستی دو فایل با چنین نامهایی فارغ از محتوای آنها منجر به این تشخیص اشتباه میشود.
جالب اینجاست که این مکانیزم تشخیص با نرمافزارهای معروفی مانند SolidWorks و SPSS Statistics، انواع کلاینتهای ایمیل و … نیز تداخل داشته و منجر به تشخیص اشتباه میشود. راه حل کسپراسکی برای رفع این تداخلها، قرار دادن یک لیست استثنائات ثابت در محصولاتش است که پسوندهای مورد استفاده در این نرمافزارها (مانند stt, sldprt, sig و حتی پسوند exe) را تراست نموده و در خصوص آنها هشداری صادر نمیکند.
از آنجا که لایه محافظت اطلاعات در ضدباجگیر پادویش در شرایط خاصی از فایل اصلی یک بکاپ موقت با پسوند CryptoBackup تهیه میکند، این اشکال کسپراسکی در خصوص این فایل نیز رخ میدهد. نسخه جدید پادویش با تغییر این پسوند این ایراد را پوشش داده و آن را دور میزند.
راهکار
این راهکار مربوط به نسخههای قبلی محصولات میباشد و در نسخههای زیر نیازی به اعمال راهکار نمیباشد:
* ضدباجگیر پادویش در نسخههای ۱.۵.۱۶۹.۱۱۳۷ و بالاتر
* ضدویروس پادویش در نسخههای ۲.۹.۱۳۴.۸۰۰۱ و بالاتر
جهت رفع تشخیص اشتباه، میتوانید در تنظیمات آنتیویروس کسپراسکی پسوند CryptoBackup را استثنا نمایید:
- به تنظیمات ماژول
AntiCryptor
مراجعه کنید. - بخش
Exclusion List
را باز نمایید. - پسوند
*.CryptoBackup
را وارد نمایید. - تمام پنجرهها را با OK ببندید.
لینک راهنمای تنظیمات در سایت کسپراسکی: https://support.kaspersky.com/KSWS/11/en-US/193127.htm (پادویش مسئول محتوای لینکهای بیرونی نمیباشد)
توضیحات تکمیلی
لازم به تاکید است که از آنجاییکه نحوه تشخیص کسپراسکی صرفا برحسب نام فایل میباشد و این روش مستعد خطای تشخیص بالا و تداخل با نرمافزارهای بسیاری است؛ به همین علت کسپراسکی در ماژول AntiCryptor یک لیست پیشفرض استثنا تعریف نموده است که شامل موارد زیر است: (منبع https://support.kaspersky.com/KSWS/11/en-US/193127.htm)
- stt – پسوند نرمافزار آماری SPSS
- exe – پسوند فایلهای اجرایی ویندوز
- sig – پسوند مورد استفاده در نرمافزارهای ایمیل
- sldprt – پسوند نرمافزار Solid Works
- و …
آنچه شما اضافه میکنید یک استثنای جدید در لیست بالا میباشد.
دادهبان ضدباجگیر از هیچ یک از درایوها پشتیبانگیری نمیکند (خطای 0x8004230c)
علائم و نشانهها
- در دادهبان پادویش خطای زیر را برای تمامی درایوها دریافت میکنید:
- آخرین ستون جدول (آخرین خطا) یکی از پیامهای زیر را نمایش میدهد:
IDispatch error #8460 (0x8004230c) نظارت:IDispatch error #8463 (0x8004230f) IDispatch error #8450 (0x80042302) نظارت:The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (0x80070422)
- به شماره خطای
0x8004230c
یا0x80042302
یا0x80070422
در پیام بالا دقت کنید.
راهحل سریع
- کلید
Win+R
را بزنید و برنامهservices.msc
را اجرا نمایید. - سرویس Volume Shadow Copy Service را پیدا کنید. اگر این سرویس در حالت Disabled قرار دارد آن را به Manual تغییر دهید.
- سرویس Microsoft Software Shadow Copy Provider را پیدا کنید. اگر این سرویس در حالت Disabled قرار دارد آن را به Manual تغییر دهید.
- مجددا به پادویش مراجعه کرده و بکاپگیری را تست نمایید.
علت مساله
علت این مساله غیرفعال (Disable) شدن سرویس VSS ویندوز است. برای عملکرد صحیح این سرویس باید در حالت Manual تنظیم شده باشد. (حالت پیشفرض)
فولدرهای ساخته شده توسط لایه طعمهگذاری در ضدباجگیر پادویش
سوال
- تعدادی پوشه و فایل پنهان با اسامی عجیب (tMrWGzNUI.jpg, aqVBLhrL, …) روی دسکتاپ (یا مسیر دیگری) در سیستم من وجود دارد و امکان حذف آنها را ندارم. آیا سیستم ویروسی شده است؟
- پوشه !!AntiCrypto!! و یا !!ACPadvishAV!! چیست و چرا ایجاد شده است؟
- آیا سیستم من به باجافزار (Ransomware) آلوده شده است؟
توضیح اولیه
خیر، این فولدرها باجافزار (Ransomware) نیستند و سیستم شما آلوده نشده است. باجافزار نوعی بدافزار است که اطلاعات شما را رمز کرده و برای بازگرداندن آنها پول طلب میکند.
اما فولدرهایی که دیدهاید مربوط به مولفه ضدباجافزار پادویش است که وظیفه جلوگیری از آلودگی سیستم شما به باجافزارهای شناخته شده و ناشناخته را دارد. این مولفه یک ویژگی منحصربفرد در پادویش است که هیچ یک از ضدویروسهای خارجی نظیر آن را به این شکل و وسعت ندارند. به نحوی که ضدباجگیر پادویش گواهی تشخیص کامل باجافزارهای دنیای واقعی را از AV-Test آلمان کسب کرده است.
به طور خاص این فولدرها و فایلهای درون آن طعمههای دامی هستند که ضدباجگیر پادویش برای تشخیص باجافزارها پهن کرده است. بنابراین نگران نباشید و به این فایلها کاری نداشته باشید.
توضیحات فنی
مولفه ضدباجگیر پادویش چهار لایه مختلف محافظتی دارد که – علاوه بر سایر مکانیزمها و تکنولوژیهای تشخیص موجود در ضدویروس – به طور خاص از سیستم و اطلاعات شما در برابر باجافزارها محافظت میکند. چهارمین و آخرین لایه اضافه شده به ضدباجگیر لایه طعمهگذاری است که همین موضوع فولدرها مربوط به این لایه است.
اما برای توضیح بهتر است ابتدا با لایههای محافظتی ضدباجگیر پادویش آشنا شوید:
- لایه محافظت اطلاعات (Tamper Protection): که رفتار باجگیرها را شناسایی میکند. این تشخیص کاملا رفتاری بوده و نیاز به هیچ آپدیت روزانه یا مانند آن ندارد.
اولین نسخههای ضدباجگیر پادویش فقط همین لایه محافظتی را داشتند و به تنهایی همان لایهای است که زمان انتشار ویروس واناکرای که طرف چند ساعت کل دنیا را آلوده کرد و ضدویروسها مجبور به ارائه آپدیت برای تشخیص آن بودند، این ویروس را از لحظه اول و به صورت پیشفرض و بدون نیاز به اینکه در طول یکسال گذشته آپدیت شده باشد تشخیص میداد. - لایه دادهبان (DataCop): این لایه روزانه دوبار از کل اطلاعات شما بکاپ تهیه میکند. این بکاپها با تکنولوژی Snapshot ایجاد میشود و ظرف چندثانیه تولید شده و فقط چندمگابایت فضا مصرف میکند.
راز این تکنولوژی این است که برای گرفتن بکاپ اطلاعات شما کپی نمیشود، بلکه روی همان هارد و همان درایو، یک Snapshot ایجاد شده و از این به بعد تغییرات فایلها جای دیگری ذخیره میشود. در نتیجه بکاپ زمان نمیگیرد و حجم آن نیز فقط به اندازه تغییرات روزانه شماست. به علاوه دادهبان از حذف این بکاپها در برابر روشها و حملات نرمافزاری نیز محافظت میکند.
این لایه علاوه بر محافظت در برابر باجافزارها، کاربرد بکاپ دمدستی را نیز دارد. مثلا اگر فایلی را اشتباهی حذف یا رونویسی کردید از این طریق به راحتی قابل بازگرداندن است. (روش بازگردانی بکاپ دادهبان را اینجا بخوانید)بکاپ دادهبان جای یک مکانیزم بکاپگیری کامل و صحیح را نمیگیرد. حتما باید از اطلاعات مهمتان روی یک دیسک مجزا بکاپ بگیرید تا از انواع اشکالات نرمافزاری و سختافزاری در امان باشید. اما این بکاپهای راحت، سریع و کمحجم نیز در جای خودش بسیار مفید است. - لایه محافظت MBR: که برای باجافزارهای خاصی مانند Petya طراحی شده که MBR دیسک را آلوده کرده و هنگام ریست سیستم، قبل از بالا آمدن ویندوز دیسک را رمز میکنند. این لایه جلوی این باجافزارها را میگیرد.
- لایه محافظت طعمهگذاری (Bait): این لایه با ساختن فایلهای طعمه در نقاط مختلف دیسک، باجافزار را در هنگام دسترسی به این فایلها و فولدرهای طعمه شناسایی میکند.
تا پیش از معرفی این لایه در ضدباجگیر پادویش، برخی باجگیرها با وجودیکه به علت وجود لایههای قبلی امکان رمز کردن فایلها را نداشتند و محتوای فایلها سالم میماند، باز هم فایلهای کاربر را تغییرنام میدادند. در این لایه محافظتی جلوی چنین اتفاقی نیز گرفته میشود.
همانطور که میبینید عملکرد این لایهها به نحوی است که اگر باجافزار از هر لایه عبور کرد در لایهی دیگری شناسایی و متوقف شود. و این چیزی است که ضدباجگیر پادویش را منحصربفرد کرده است.
در نسخههای سری ۲.۴ امنیت کامل پادویش و سری ۱.۵ ضدباجگیر پادویش نام این پوشه !!AntiCrypto!! و یا !!ACPadvishAV!! بود. در سری نسخ جدید ضدویروس و ضدباجگیر پادویش این اسامی به صورت تصادفی و رندوم تولید میشوند تا نویسندگان باجافزار نتوانند از طریق نام فایلهای طعمه را شناسایی نمایند. ضمنا در این نسخهها از طریق غیر فعال کردن گزینه طعمه یا Bait در تنظیمات ضدباجگیر میتوانید این لایه محافظتی را خاموش و فولدرها را حذف نمایید.
چگونه فایلهای پشتیبان گرفته شده توسط دادهبان را مشاهده کنم؟
مساله
ضدباجگیر پادویش روزی دو بار از کل اطلاعات و فایلهای شما پشتیبان تهیه میکند. شما میخواهید یک یا چند فایل و فولدر را از طریق این بکاپ پیدا کرده و آن را بازگردانی کنید.
راهکار
جهت مشاهده فایلهایی که توسط بخش دادهبان (DataCop) در ضدباجگیر پادویش پشتیبان گرفته شدهاند از روش زیر استفاده کنید:
- برنامه مدیریت فایل ویندوز (This PC) را باز کنید.
- درایوی که قبلا فایل شما در آن قرار گرفته بوده را پیدا کنید.
- روی درایو کلیک راست کرده و گزینه Properties را انتخاب کنید.
- به برگه Previous Versions بروید.
- تاریخ مورد نظر خود را انتخاب کرده و گزینه Open را بزنید.
- پنجرهای شامل اطلاعات و فایلهای درایو شما در تاریخ و زمان انتخاب شده نمایش داده میشود. در اینجا میتوانید فایل خود را پیدا کرده و به بیرون کپی کنید.