Rilasciata Patch E per Kaspersky Security Center 10 Service Pack 1

E’ stata rilasciata la Patch E per Kaspersky Security Center 10 Service Pack 1.kaspersky

Patch E è disponibile per:

  • Patch per Administration Console (patch_10_2_434_console_e.zip) che deve essere installata su i computer in cui è installata la Administration Console senza Administration Server.
  • Patch per Network Agent (patch_10_2_434_nagent_e.zip) sui computer gestiti in cui è installato il Network Agent senza Administration Server.
  • Patch per Administration Server (patch_10_2_434_server_e.zip) per i computer su cui è installato Administration Server. Questa patch include l’aggiornamento anche per Administration Console e Network Agent.

Patch E è cumulativa ed include gli aggiornamenti già rilasciati nelle patch А, patch B, patch C, e patch D.
Dopo che la patch E è stata installata la versione di alcuni file diventerà 10.2.2019, mentre la versione mostrata dalla Administration Console, rimarrà 10.2.434.

Fra le correzioni introdotte in questa Patch, si evidenziano la correzione di alcuni errori che potevano causare il blocco di Administration Console ed Administration Server ed errori di connessione fra Network Agent e Administration Server.

argonavislabArgonavis dispone di tutte le competenze per supportarti al meglio a livello tecnico e commerciale contattaci per rendere il più efficace possibile la tua protezione.

Richiedi Informazioni

11 Maggio 2016

Integrity Check per i prodotti Kaspersky Endpoint Security

Purtroppo a volte può accadere che alcuni malware danneggino in qualche maniera il funzionamento del software antimalware, in maniera molto fine, in modo da risultare a tutti gli effetti perfettamente funzionante, ma in realtà rendendolo incapace di intercettare alcune minacce.

L’attività Integrity Check per i prodotti Kaspersky Endpoint Security serve a verificare che tutti i moduli del software antimalware siano perfettamente funzionanti e non presentino delle compromissioni.

La creazione del task è similare alla creazione di qualsiasi altra attività:

  1. Si seleziona un gruppo e si apre il tab “Task”
  2. Si preme il pulsante “Create Task”
  3. Si assegna un nome al task che andiamo a creare
    kas_integrity_1
  4. Si seleziona la versione del prodotto Kaspersky da verificare ed il relativo task di Integrity Check
    kas_integrity_2
  5. Si seleziona la frequenza di esecuzione del task
    kas_integrity_3
  6. Si conclude la creazione del Task

Il task di Integrity Check è presente per le versioni del prodotto:

  • Kaspersky Security 10 for Windows Server (Application Integrity Control)
  • Kaspersky Endpoint Security 10 Service Pack1 Maintenance Release 2 for Windows (Integrity Check)
  • Kaspersky Endpoint Security 10 Service Pack1 for Windows (Integrity Check)

Il suggerimento è di aggiornare la propria installazione ad una di queste versioni, ed effettuare periodicamente il controllo, in modo da poter essere tranquilli sulla reale protezione.

argonavislab

Argonavis è partner Kaspersky ed i suoi tecnici hanno conseguito le più importanti certificazioni sui prodotti KasperskyLab, potendo vantare anche la prestigiosa certificazione KSCC (massimo livello di certificazione).

Contattaci ed affida la protezione della tua azienda all’esperienza e competenza di KasperskyLAB ed Argonavis.

Richiedi Informazioni

26 Aprile 2016

Kaspersky introduce un nuovo algoritmo per proteggere i server dai danni prodotti dal Cryptolocker

I prodotti KasperskyLab si sono sempre rivelati molto efficaci nella prevenzione dei malware in generale ed in particolare contro la minaccia del momento: i ransomware (cryptolocker).

La stretegia attuale prevedeva oltre ai metodi classici di inviduazione dei malware basati su corrispondenza fra firme e di analisi del comportamento con delle euristiche, l’utilizzo di due componenti il System Watcher ed Application Privilege Control che riducono ulteriormente il pericolo di infezione in particolare di minacce 0-day che ancora non sono state analizzate.

Purtroppo avviene frequentemente che fra tante workstation che circolano nel perimetro aziendale, per dimenticanza o per qualche malfunzionamento, qualcuna non venga protetta adeguatamente, e se questa macchina si infettasse con un ransomware andrebbe a svolgere il suo atto di danneggiamento anche sulle aree di file sharing.

KasperskyLab ha annunciato in un video una nuova funzionalità per il prodotto Kaspersky Security Endpoint for Windows File Server, molto utile in azienda perché non contrasta direttamente l’infezione del malware, ma riduce l’impatto del danneggiamento alla sola macchina infetta.

Morten Lehn Managing Director di Kaspersky Lab Italia afferma: “La nostra nuova soluzione è unica nel suo genere. È basata su un algoritmo brevettato da Kaspersky Lab che utilizza l’analisi dei comportamenti per rilevare attività sospette e proteggere dalla criptazione le cartelle condivise. Vogliamo impedire che le aziende vengano escluse dai loro file e che vengano obbligate a pagare un riscatto per riaverli” .

argonavislab

Argonavis è partner Kaspersky ed i suoi tecnici hanno conseguito le più importanti certificazioni sui prodotti KasperskyLab, potendo vantare anche la prestigiosa certificazione KSCC (massimo livello di certificazione).

Contattaci ed affida la protezione della tua azienda all’esperienza e competenza di KasperskyLAB ed Argonavis.

Richiedi Informazioni

8 Aprile 2016

TeslaCrypt 4.0

Dopo la grande epidemia di infezioni di TeslaCrypt 3.0 avuta fra i mesi di gennaio e febbraio la nuova versione TeslaCrypt 4.0 è stata rilevata in questi ultimi giorni.

Il vettore dell’infezione è sempre una mail di spam, che si presenta come un fattura o un ordine, contenente un allegato in formato .ZIP che al suo interno contiene un file JavaScript (trojan) che una volta eseguito si occupa di scaricare il malware, che procederà alla  crittografia dei file importanti presenti sul disco e sulle aree di rete condivise.

Mentre le versioni precedenti di questo malware aggiungevano le estensioni “.micro”, “.mp3”, “.ecc, “.ezz”, “.exx”, “.xyz”, “.zzz”, “.aaa”, “.abc”, “.ccc” o “vvv” al nome del file, quest’ultima variante lascia inalterato il nome del file, rendeno più difficile il riconoscimento dell’infezione.

L’unica possibilità per capire se il file è stato attaccato è verificare se nell’header del file compaiono le tracce della crittografia

offset size Description
 ————————————–
 0x000 8 0x0000000000000000
 0x008 8 %IDHEX%
 0x010 8 0x0000000000000000
 0x018 65 PublicKeyRandom1_octet
 0x059 32 AES_PrivateKeyMaster
 0x079 31 Padding 0
 0x098 65 PublicKeySHA256Master_octet
 0x0D9 3 0x000000
 0x0DC 65 PublicKeyRandom2_octet
 0x11D 32 AES_PrivateKeyFile
 0x13D 31 Padding 0
 0x15C 16 Initialization vector for AES
 0x16C 4 Size of original file
 AES 256 CBC

inoltre vengono creati dei file, con dei nomi casuali, con le istruzioni per sbloccarli:

%UserProfile%\Desktop\RECOVER[5_chars].html
%UserProfile%\Desktop\RECOVER[5_chars].png
%UserProfile%\Desktop\RECOVER[5_chars].txt
%UserProfile%\Documents\[random].exe
%UserProfile%\Documents\recover_file.txt

teslacrypt-4_0-ransom-note

 

Dalle istruzioni su come ottenere il riscatto dei file troviamo alcune informazioni utili a comprendere l’azione del malware.

Il malware utilizza la crittografia AES con chiave pubblica RSA a 4096bit,  inoltre è stato risolto un bug presente nelle versioni precedenti, in cui i file con dimensione superiore a 4GB nella fase di crittografia venivano danneggiati.

Questo malware ha delle caratteristiche che rischiano di mimetizzarne l’impatto per un lungo periodo, e rendere difficoltoso il recupero da un backup poiché i nomi dei file non vengono modificati.

Alcune tecniche di mitigazione del rischio consistono nel bloccare l’elenco degli indirizzi IP dei server da cui avviene il download del malware, ma questa tecnica espone ancora ad importanti rischi, ai criminali basterebbe aggiungere un nuovo server.

Per garantirsi una protezione più efficace occorre utilizzare una protezione contro lo spam, ed una protezione antimalware complessa come la soluzione di protezione Kaspersky contro le infezioni da Ransomware, all’avanguardia contro ogni tipo di cyber criminalità.

4 Aprile 2016

Configurare i parametri di allarme degli Endpoint

Alcune organizzazioni scelgono di non schedulare periodicamente una scansione Full Scan su tutte le macchine, ma di effettuarla all’occorrenza, ad esempio quando molti virus vengono individuati.

In questo caso il sistema mostrerà gli Endpoint nello stato critico, inducendo confusione in chi deve monitorare la protezione.

E’ possibile modificare questa configurazione, selezionando il gruppo ed entrando nelle proprietà

proprietà del gruppo

Di default un endpoint su cui non viene effettuata una full scan da oltre 7 giorni diviene warning, oltre 14 giorni diventa critical.

Togliendo il flag su questa voce non verrà più mostrato l’Endpoint in stato critical, altrettando andrà fatto per lo status warning.

modifica notifica

E’ possibile anche tenere attivo il controllo, modificando il numero di giorni, occorre premere il tasto destro del mouse e premere “Modify”

proprietà

25 Gennaio 2016

Blog & News

Categorie