Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=ransomware

Umgang mit Ransomware

Was geschieht, wenn wir Ransomware entdecken, und wie sollten Sie vorgehen?

Wenn Sie wissen, dass eine Erkennung ein „False Positive“ ist, siehe Umgang mit False Positives.

Wenn wir Ransomware entdecken, geschieht Folgendes:

  • Wir prüfen, ob es sich um eine legitime Anwendung wie z. B. ein Produkt für die Datei-/Ordnerverschlüsselung handelt. Falls nicht, verhindern wir deren Ausführung.
  • Die Dateien werden wieder in ihren Zustand vor der Änderung versetzt.
  • Der Endnutzer wird benachrichtigt.
  • Ein Bedrohungsgraph wird erzeugt. Das hilft Ihnen bei der Entscheidung, ob zusätzliche Maßnahmen zu ergreifen sind.
  • Bei einem Scan werden alle Prozesse im Speicher auf verdächtiges Verhalten überprüft.
  • Der Sicherheitsstatus des Geräts wird wieder auf „Grün“ gesetzt.

Für weitere Informationen siehe Alarme.

Vorgehensweise wenn Sie „Ransomware erkannt“ sehen

Wenn weiterhin eine Bereinigung erforderlich ist, schicken Sie uns ein Sample der Ransomware. Siehe Wie man Samples verdächtiger Dateien an Sophos übermittelt.

Wir klassifizieren es und aktualisieren unsere Regeln. Wenn es bösartig ist, wird Sophos Central es in Zukunft blockieren.

Vorgehensweise wenn Sie „Remote ausgeführte Ransomware erkannt“ sehen

Wir haben Ransomware entdeckt, die auf einem Remote-Computer ausgeführt wird und versucht, Dateien in Netzwerkfreigaben zu verschlüsseln.

Wir haben den Schreibzugriff auf die Netzwerkfreigaben von der IP-Adresse des Remote-Computers gesperrt. Wenn der Computer mit dieser Adresse ein Arbeitsplatzrechner ist, der von Sophos Central verwaltet wird, und Dokumente vor Ransomware schützen (CryptoGuard) aktiviert ist, wird die Ransomware automatisch entfernt.

Unternehmen Sie folgende Schritte:

  1. Suchen Sie den Computer, auf dem die Ransomware ausgeführt wird.
  2. Wird der Computer von Sophos Central verwaltet, achten Sie darauf, dass Dokumente vor Ransomware schützen (CryptoGuard) in der Richtlinie aktiviert ist.

  3. Schicken Sie uns ein Sample der Ransomware. Siehe Wie man Samples verdächtiger Dateien an Sophos übermittelt.

    Wir klassifizieren es und aktualisieren unsere Regeln. Wenn es bösartig ist, wird Sophos Central es in Zukunft blockieren.

Vorgehensweise wenn Sie „Ransomware erkannt, die einen Remote-Rechner angreift“ sehen

Wir haben festgestellt, dass dieser Computer versucht, Dateien auf anderen Computern zu verschlüsseln.

Wir haben den Schreibzugriff des Computers auf die Netzwerkfreigaben blockiert. Wenn der Computer ein Arbeitsplatzrechner ist und Dokumente vor Ransomware schützen (CryptoGuard) aktiviert ist, wird die Ransomware automatisch entfernt.

Unternehmen Sie folgende Schritte:

  1. Achten Sie darauf, dass Dokumente vor Ransomware schützen (CryptoGuard) in der Sophos Central-Richtlinie aktiviert ist. Damit werden weitere Informationen bereitgestellt.

  2. Schicken Sie uns ein Sample der Ransomware. Siehe Wie man Samples verdächtiger Dateien an Sophos übermittelt.

    Wir klassifizieren es und aktualisieren unsere Regeln. Wenn es bösartig ist, wird Sophos Central es in Zukunft blockieren.