Tratar el ransomware

En este apartado se describe qué ocurre cuando se detecta un programa de ransomware y qué hacer al respecto.

Si sabe que una detección es un falso positivo, consulte Tratar los falsos positivos.

Cuando se detecta ransomware:

  • Se comprueba si es una aplicación legítima, por ejemplo un producto de cifrado de archivos o carpetas. Si no es así, lo detenemos.
  • Los archivos se revierten a su estado previo a la modificación.
  • Se notifica al usuario.
  • Se genera un caso de amenaza. Le ayudarán a determinar si se deben tomar medidas adicionales.
  • Se inicia un escaneado para identificar y limpiar otros programas maliciosos en el dispositivo.
  • El estado del dispositivo se vuelve a establecer en Verde.

Qué hacer si ve el mensaje “Ransomware detectado

Si aún necesita hacer una limpieza, haga lo siguiente:

  • Si no está activado el envío automático de muestras, envíenos una muestra del ransomware. La clasificaremos y actualizaremos nuestras reglas: si es malicioso, Sophos Central lo bloqueará en el futuro.
  • Traslade el ordenador temporalmente a una red en la que no suponga un riesgo para otros equipos. Vaya al equipo y ejecute Sophos Clean (si no está instalado, descárguelo de nuestro sitio web).

    Puede ejecutar Sophos Clean en un servidor desde Sophos Central.

  • Vaya a Sophos Central, visite Alertas y marque la alerta como resuelta.

Qué hacer si ve el mensaje "Se ha detectado ransomware ejecutado remotamente"

Se ha detectado ransomware ejecutándose en un equipo remoto e intentando cifrar archivos en recursos compartidos de red.

Se ha bloqueado el acceso de escritura a los recursos compartidos de red desde la dirección IP del equipo remoto. Si el equipo con esa dirección es una estación de trabajo gestionada por Sophos Central y Proteger archivos de documentos de ransomware (CryptoGuard) está habilitado, procederemos a limpiar el ransomware automáticamente.

Debe hacer lo siguiente:

  • Localice el equipo en el que se está ejecutando el ransomware.
  • Si el equipo está gestionado por Sophos Central, asegúrese de que Proteger archivos de documentos de ransomware (CryptoGuard) está activado en la política.
  • Si la limpieza no se ejecuta de forma automática: Traslade el ordenador a una red en la que no suponga un riesgo para otros equipos. A continuación, vaya al equipo y ejecute Sophos Clean (si no está instalado, descárguelo de nuestro sitio web).
  • Vaya a Sophos Central, visite Alertas y marque la alerta como resuelta.

Qué hacer si ve el mensaje "Se ha detectado un ataque de ransomware contra un equipo remoto"

Se ha detectado que este equipo está intentando cifrar archivos en otros equipos.

Se ha bloqueado el acceso de escritura de este equipo a los recursos compartidos de red. Si el equipo es una estación de trabajo, y Proteger archivos de documentos de ransomware (CryptoGuard) está habilitado, limpiaremos el ransomware automáticamente.

Debe hacer lo siguiente:

  • Asegúrese de que Proteger archivos de documentos de ransomware (CryptoGuard) que está activado en la política de Sophos Central. Esto proporciona más información.
  • Si la limpieza no se ejecuta de forma automática: Traslade el ordenador a una red en la que no suponga un riesgo para otros equipos. A continuación, vaya al equipo y ejecute Sophos Clean (si no está instalado, descárguelo de nuestro sitio web).
  • Vaya a Sophos Central, visite Alertas y marque la alerta como resuelta.