Traitement des ransomwares

Découvrez ce qui se passe et quelle procédure suivre en cas de détection d’un ransomware.

Si vous savez qu’une détection est un faux positif, consultez la section Traitement des faux positifs.

Lorsque nous détectons un ransomware :

  • Nous vérifions qu’il s’agit d’une application légitime comme par exemple un produit de chiffrement de fichiers ou de dossiers. Dans le cas contraire, nous l’empêchons de s’exécuter.
  • Les fichiers sont restaurés à la version à laquelle ils étaient avant la modification.
  • L’utilisateur est averti.
  • Un dossier Menace est créé. Ceci vous permet de décider si vous voulez effectuer d’autres actions.
  • Un contrôle commence pour identifier et nettoyer les autres malwares sur l’appareil.
  • L’état de fonctionnement de l’appareil est au vert.

Que faire si vous voyez le message « Ransomware détecté »

Si vous avez toujours besoin de nettoyer une menace, procédez comme suit :

  • Si l’envoi automatique d’échantillon n’est pas activé, veuillez nous envoyer un échantillon du ransomware. Nous le classerons et mettrons à jour nos règles. Si celui-ci est malveillant, Sophos Central le bloquera.
  • Déplacez temporairement l’ordinateur sur un réseau sur lequel il ne représentera pas un risque pour les autres ordinateurs Sur l’ordinateur, exécutez Sophos Clean (si ce programme n’est pas installé, veuillez le télécharger sur notre site Web).

    Vous pouvez exécuter Sophos Clean sur un serveur à partir de Sophos Central.

  • Allez dans Sophos Central, puis dans Alertes, et marquez l’alerte comme résolue.

Que faire si vous voyez le message « Ransomware exécuté à distance détecté »

Nous avons détecté un ransomware s’exécutant sur un ordinateur à distance et essayant de chiffrer des fichiers sur les partages réseau.

Nous avons bloqué l’accès en écriture sur les partages réseau provenant de l’adresse IP de cet ordinateur distant. Si l’ordinateur avec cette adresse est une station de travail administrée par Sophos Central et que l’option Protéger les fichiers document contre les ransomwares (CryptoGuard) est activée, l’ordinateur est nettoyé automatiquement de tous les ransomwares.

Veuillez procéder comme suit :

  • Localisez l’ordinateur sur lequel le ransomware est en train de s’exécuter.
  • Si un ordinateur est administré par Sophos Central, assurez-vous que l’option Protéger les fichiers document contre les ransomwares (CryptoGuard) est activée dans la stratégie.
  • Si l’opération de nettoyage n’est pas automatique : Déplacez l’ordinateur sur un réseau sur lequel il ne représentera pas un risque pour les autres ordinateurs Rendez-vous sur l’ordinateur et exécutez Sophos Clean (si ce programme n’est pas installé, veuillez le télécharger sur notre site Web).
  • Allez dans Sophos Central, puis dans Alertes, et marquez l’alerte comme résolue.

Que faire si vous voyez le message « Détection d’une attaque de ransomware sur une machine distante »

Nous avons détecté un ordinateur essayant de chiffrer des fichiers sur d’autres ordinateurs.

Nous avons bloqué l’accès en écriture de cet ordinateur aux partages réseau. Si l’ordinateur est une station de travail et que Protéger les fichiers document contre les ransomwares (CryptoGuard) est activé, l’ordinateur est nettoyé automatiquement de tous les ransomwares.

Veuillez procéder comme suit :

  • Assurez-vous que Protéger les fichiers document contre les ransomwares (CryptoGuard) est activé dans la stratégie Sophos Central. Ceci fournit plus d’informations.
  • Si l’opération de nettoyage n’est pas automatique : Déplacez l’ordinateur sur un réseau sur lequel il ne représentera pas un risque pour les autres ordinateurs Rendez-vous sur l’ordinateur et exécutez Sophos Clean (si ce programme n’est pas installé, veuillez le télécharger sur notre site Web).
  • Allez dans Sophos Central, puis dans Alertes, et marquez l’alerte comme résolue.