Umgang mit Ransomware

Was geschieht, wenn wir Ransomware entdecken, und wie sollten Sie vorgehen?

Wenn Sie wissen, dass eine Erkennung ein False Positive ist, siehe Umgang mit False Positives.

Wenn wir Ransomware entdecken, geschieht Folgendes:

  • Wir prüfen, ob es sich um eine legitime Anwendung wie z. B. ein Produkt für die Datei-/Ordnerverschlüsselung handelt. Falls nicht, verhindern wir deren Ausführung.
  • Die Dateien werden wieder in ihren Zustand vor der Änderung versetzt.
  • Der Endnutzer wird benachrichtigt.
  • Ein Bedrohungsfall wird erzeugt. Das hilft Ihnen bei der Entscheidung, ob zusätzliche Maßnahmen zu ergreifen sind.
  • Es wird ein Scan gestartet, um etwaige weitere Malware auf dem Gerät zu identifizieren und zu entfernen.
  • Der Sicherheitsstatus des Geräts wird wieder auf „Grün“ gesetzt.

Vorgehensweise wenn Sie „Ransomware erkannt“ sehen

Wenn weiterhin eine Bereinigung erforderlich ist, unternehmen Sie folgende Schritte:

  • Ist der automatische Sampleversand nicht aktiviert, schicken Sie uns ein Sample der Ransomware. Wir werden sie klassifizieren und unsere Regeln aktualisieren: Ist sie schädlich, wird Sophos Central sie in Zukunft blockieren.
  • Binden Sie den Computer vorübergehend in ein Netzwerk ein, wo er kein Risiko für andere Computer darstellt. Gehen Sie zu dem Computer und führen Sie Sophos Clean aus (sofern nicht installiert, laden Sie das Tool auf unserer Website herunter).

    Sie können Sophos Clean über Sophos Central auf einem Server ausführen.

  • Gehen Sie in Sophos Central zu Alarme und markieren Sie den Warnhinweis als behoben.

Vorgehensweise wenn Sie „Remote ausgeführte Ransomware erkannt“ sehen

Wir haben Ransomware entdeckt, die auf einem Remote-Computer ausgeführt wird und versucht, Dateien in Netzwerkfreigaben zu verschlüsseln.

Wir haben den Schreibzugriff auf die Netzwerkfreigaben von der IP-Adresse des Remote-Computers gesperrt. Wenn der Computer mit dieser Adresse ein Arbeitsplatzrechner ist, der von Sophos Central verwaltet wird, und Dokumente vor Ransomware schützen (CryptoGuard) aktiviert ist, wird die Ransomware automatisch entfernt.

Unternehmen Sie folgende Schritte:

  • Suchen Sie den Computer, auf dem die Ransomware ausgeführt wird.
  • Wird der Computer von Sophos Central verwaltet, achten Sie darauf, dass Dokumente vor Ransomware schützen (CryptoGuard) in der Richtlinie aktiviert ist.
  • Falls die Bereinigung nicht automatisch erfolgt: Binden Sie den Computer in ein Netzwerk ein, wo er kein Risiko für andere Computer darstellt. Gehen Sie dann zu dem Computer und führen Sie Sophos Clean aus (sofern nicht installiert, laden Sie das Tool auf unserer Website herunter).
  • Gehen Sie in Sophos Central zu Alarme und markieren Sie den Warnhinweis als behoben.

Vorgehensweise wenn Sie „Es wurde Ransomware erkannt, die einen Remote-Rechner angreift“ sehen

Wir haben festgestellt, dass dieser Computer versucht, Dateien auf anderen Computern zu verschlüsseln.

Wir haben den Schreibzugriff des Computers auf die Netzwerkfreigaben blockiert. Handelt es sich bei dem Computer um einen Arbeitsplatzrechner und Dokumente vor Ransomware schützen (CryptoGuard) ist aktiviert, wird die Ransomware automatisch entfernt.

Unternehmen Sie folgende Schritte:

  • Stellen Sie sicher, dass Dokumente vor Ransomware schützen (CryptoGuard) in der Sophos Central-Richtlinie aktiviert ist. Damit werden weitere Informationen bereitgestellt.
  • Falls die Bereinigung nicht automatisch erfolgt: Binden Sie den Computer in ein Netzwerk ein, wo er kein Risiko für andere Computer darstellt. Gehen Sie dann zu dem Computer und führen Sie Sophos Clean aus (sofern nicht installiert, laden Sie das Tool auf unserer Website herunter).
  • Gehen Sie in Sophos Central zu Alarme und markieren Sie den Warnhinweis als behoben.