ランサムウェアへの対処
ここでは、ランサムウェアが検出されたときの動作と、その対処方法について説明します。
検出が誤検知であることがわかっている場合、誤検知への対処を参照してください。
ランサムウェアが検出されると、次の処理が実行されます。
- 検出された項目が、ファイル/フォルダの暗号化製品など、正規のアプリケーションであるかどうかをチェックします。正規のアプリケーションでない場合は、アプリケーションを停止します。
- 変更が加えられる前の状態にファイルを復元します。
- エンドユーザーに通知を行います。
- 脅威グラフが生成されます。このレポートは、さらなる対応が必要かどうか判断するのに役立ちます。
- スキャンは、メモリ内のすべてのプロセスに疑わしい動作がないかどうかをチェックします。
- デバイスのセキュリティ状態が緑色に戻ります。
詳細は、警告を参照してください。
「ランサムウェアを検出しました」が表示された場合の対処方法
クリーンアップが必要な場合は、ランサムウェアのサンプルをお送りください。詳細は、疑わしいファイルのサンプルをソフォスに送信する方法を参照してください。
ソフォスはサンプルを分類してソフォスのルールを更新します。悪意のあるものであれば、Sophos Central は今後はそれをブロックします。
「リモートで実行されているランサムウェアが検出されました」が表示された場合の対処方法
リモートコンピュータで、ネットワーク共有内のファイルを暗号化しようとするランサムウェアを検出しました。
リモートコンピュータの IP アドレスからのネットワーク共有への書き込みアクセスをブロックしました。その IP アドレスを持つコンピュータが Sophos Central の管理下にあるクライアントマシンで、「ランサムウェアから文書ファイルを保護する (CryptoGuard)」が有効化されている場合、ランサムウェアは自動的にクリーンアップされます。
次の手順を実行する必要があります。
- ランサムウェアを実行しているコンピュータを探します
- コンピュータが Sophos Central の管理下にある場合は、ポリシーで、「ランサムウェアから文書ファイルを保護する (CryptoGuard)」が有効化されていることを確認します。
-
ランサムウェアのサンプルをお送りください。詳細は、疑わしいファイルのサンプルをソフォスに送信する方法を参照してください。
ソフォスはサンプルを分類してソフォスのルールを更新します。悪意のあるものであれば、Sophos Central は今後はそれをブロックします。
「リモートマシンを攻撃するランサムウェアが検出されました」が表示された場合の対処方法
このコンピュータが、他のコンピュータのファイルを暗号化しようとしていることを検知しました。
コンピュータによるネットワーク共有への書き込みアクセスをブロックしました。コンピュータがクライアントマシンで、「ランサムウェアから文書ファイルを保護する (CryptoGuard)」が有効化されている場合、ランサムウェアは自動的にクリーンアップされます。
次の手順を実行する必要があります。
- 「ランサムウェアから文書ファイルを保護する (CryptoGuard)」が、Sophos Central ポリシーで有効化されていることを確認してください。詳細はこちらを参照してください。
-
ランサムウェアのサンプルをお送りください。詳細は、疑わしいファイルのサンプルをソフォスに送信する方法を参照してください。
ソフォスはサンプルを分類してソフォスのルールを更新します。悪意のあるものであれば、Sophos Central は今後はそれをブロックします。