Lidar com ransomwares
Isso é o que acontece quando detectamos um ransomware e o que fazer em relação a isso.
Se você souber que uma detecção é um falso positivo, consulte Lidar com falsos positivos.
Quando detectamos um ransomware:
- Verificamos se é um aplicativo legítimo ou não, como um produto com encriptação arquivo/pasta. Se não for, paramos a sua execução.
- Os arquivos são restaurados a seu estado pré-modificação.
- O usuário final é notificado.
- Um gráfico de ameaça é gerado. Isso ajuda a decidir se são necessárias ações adicionais.
- Uma varredura verifica todos os processos na memória quanto a comportamentos suspeitos.
- O estado de salubridade do dispositivo volta para Verde.
Para obter mais informações, consulte Alertas.
O que fazer se você vir “Ransomware detectado”
Se você ainda precisar fazer uma limpeza, envie-nos uma amostra de exemplo do ransomware. Consulte Como enviar exemplos de arquivos suspeitos para a Sophos.
Vamos classificá-lo e atualizar nossas regras. Se for malicioso, o Sophos Central irá bloqueá-lo no futuro.
O que fazer se você vir "Ransomware executado remotamente detectado"
Detectamos um ransomware em execução em um computador remoto tentando encriptar arquivos nos compartilhamentos de rede.
Bloqueamos o acesso de gravação aos compartilhamentos de rede a partir do endereço de IP do computador remoto. Se o computador com esse endereço for uma estação de trabalho gerenciada pelo Sophos Central, e Proteger arquivos de documento de ransomwares (CryptoGuard) estiver habilitada, nós eliminaremos o ransomware automaticamente
Você precisa seguir este procedimento:
- Encontre o computador em que o ransomware está em execução.
- Se o computador for gerenciado pelo Sophos Central, certifique-se de que Proteger arquivos de documento de ransomwares (CryptoGuard) esteja habilitada na política.
-
Envie-nos uma amostra de exemplo do ransomware. Consulte Como enviar exemplos de arquivos suspeitos para a Sophos.
Vamos classificá-lo e atualizar nossas regras. Se for malicioso, o Sophos Central irá bloqueá-lo no futuro.
O que fazer se você vir "Detectado um ransomware atacando uma máquina remota"
Detectamos que este computador está tentando encriptar arquivos em outros computadores.
Bloqueamos o acesso de gravação do computador aos compartilhamentos de rede. Se o computador for uma estação de trabalho, e a opção Proteger arquivos de documento de ransomwares (CryptoGuard) estiver ativada, eliminaremos o ransomware automaticamente.
Você precisa seguir este procedimento:
- Certifique-se de que a opção Proteger arquivos de documento de ransomwares (CryptoGuard) está ativada na política Sophos Central. Isso fornecerá mais informações.
-
Envie-nos uma amostra de exemplo do ransomware. Consulte Como enviar exemplos de arquivos suspeitos para a Sophos.
Vamos classificá-lo e atualizar nossas regras. Se for malicioso, o Sophos Central irá bloqueá-lo no futuro.