Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=ransomware

Traitement des ransomwares

Découvrez ce qui se passe et quelle procédure suivre en cas de détection d’un ransomware.

Si vous savez qu’une détection est un faux positif, consultez Traitement des faux positifs.

Lorsque nous détectons un ransomware :

  • Nous vérifions qu’il s’agit d’une application légitime comme par exemple un produit de chiffrement de fichiers ou de dossiers. Dans le cas contraire, nous l’empêchons de s’exécuter.
  • Les fichiers sont restaurés à la version à laquelle ils étaient avant la modification.
  • L’utilisateur est averti.
  • Un graphique de menace est créé. Ceci vous permet de décider si vous voulez effectuer d’autres actions.
  • Un contrôle vérifie tous les processus en mémoire à la recherche de comportements suspects.
  • L’état de fonctionnement de l’appareil est au vert.

Retrouvez plus de renseignements sur Alertes.

Que faire si vous voyez le message « Ransomware détecté »

Si vous n’avez pas encore nettoyé, envoyez-nous un échantillon du ransomware. Voir Comment envoyer des échantillons de fichiers suspects à Sophos.

Nous le classifierons et mettrons à jour nos règles. S’il est malveillant, Sophos Central le bloquera à l’avenir.

Que faire si vous voyez le message « Ransomware exécuté à distance détecté »

Nous avons détecté un ransomware s’exécutant sur un ordinateur à distance et essayant de chiffrer des fichiers sur les partages réseau.

Nous avons bloqué l’accès en écriture sur les partages réseau provenant de l’adresse IP de cet ordinateur distant. Si l’ordinateur avec cette adresse est une station de travail administrée par Sophos Central et que l’option Protéger les fichiers document contre les ransomwares (CryptoGuard) est activée, l’ordinateur est nettoyé automatiquement de tous les ransomwares.

Veuillez procéder comme suit :

  1. Localisez l’ordinateur sur lequel le ransomware est en train de s’exécuter.
  2. Si un ordinateur est administré par Sophos Central, assurez-vous que l’option Protéger les fichiers document contre les ransomwares (CryptoGuard) est activée dans la stratégie.

  3. Envoyez-nous un échantillon du ransomware. Voir Comment envoyer des échantillons de fichiers suspects à Sophos.

    Nous le classifierons et mettrons à jour nos règles. S’il est malveillant, Sophos Central le bloquera à l’avenir.

Que faire si vous voyez le message « Détection d’une attaque de ransomware sur une machine distante »

Nous avons détecté un ordinateur essayant de chiffrer des fichiers sur d’autres ordinateurs.

Nous avons bloqué l’accès en écriture de cet ordinateur aux partages réseau. Si l’ordinateur est une station de travail et que Protéger les fichiers document contre les ransomwares (CryptoGuard) est activé, l’ordinateur est nettoyé automatiquement de tous les ransomwares.

Veuillez procéder comme suit :

  1. Assurez-vous que Protéger les fichiers document contre les ransomwares (CryptoGuard) est activé dans la stratégie Sophos Central. Ceci fournit plus d’informations.

  2. Envoyez-nous un échantillon du ransomware. Voir Comment envoyer des échantillons de fichiers suspects à Sophos.

    Nous le classifierons et mettrons à jour nos règles. S’il est malveillant, Sophos Central le bloquera à l’avenir.