تنظیمات Advanced Threat Protection برای مقابله با باج افزار ExPetr


انجام تنظیمات به وسیله کنسول مدیریتی کسپرسکی (KSC)

ابتدا کنسول را باز کرده و از قسمت Administration Server در سمت چپ کنسول Manage Device را انتخاب می کنیم.

وارد تب Policies  می شویم و روی Policy دبل کلیک می کنیم.



پس از باز شدن پنجره Properties  از کادر سمت چپ Advanced Threat Protection  را انتخاب می کنیم و از زیر منوی باز شده روی Host Intrusion Prevention  کلیک می کنیم.

در بخش راست صفحه از قسمت Application right  روی کلید Setting  مطابق شکل زیر کلیک می کنیم.




در پنجره باز شده در تب Protect resource ابتدا Personal Data را از کادر سمت چپ انتخاب کرده و گزینه Add را می زنیم و Category را انتخاب می کنیم.



در کادر باز شده کلمه Expetr را تایپ کرده و روی کلید OK کلیک می کنیم . 




روی Expetr کلیک کرده و گزینه Add را می زنیم و File or folder را انتخاب می کنیم.



با استفاده از مرحله قبل تمامی مسیر های زیر را به عنوان زیر مجموعه Expetr اضافه می کنیم.

%windir%\dllhost.dat

%windir%\psexesvc.exe

%windir%\perfc.dat

%appdata%\perfc.dat

%appdata%\dllhost.dat

psexec.exe\*

psexec64.exe\*


در کادر باز شده یک نام برای این قسمت انتخاب نموده و با استفاده از کلید Brows مسیر های بالا را یکی یکی اضافه می کنیم .



پس از اضافه کردن مسیر ها تنظیمات را به صورت زیر تغییر می دهیم:



اکنون طی مراحل زیر Notification را برای بازبینی Logهای این بخش فعال می کنیم.

الف - پس از ورود به محیط Properties  در Policy مورد نظر از سمت چپ گزینه Event Configuration  را انتخاب می کنیم.

ب - وارد تب Info شده و روی گزینه Host Intrusion Prevention was triggered دبل کلیک می کنیم .

ج – از پنجره باز شده گزینه On Administration Server For (days)  را تیک می زنیم . مقدار عدد مقابل این گزینه تعداد روز هایی است که Log ها روی کنسول ذخیره می شوند.