Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/mdr/help/es-es/index.html?contextId=Identification

Identificación

Tipos de infección de malware y sus síntomas más comunes.

Si sus síntomas coinciden o son similares a los de la lista, siga los pasos del flujo de trabajo de remediación correspondiente.

Síntomas de una infección por ransomware

  • No puede acceder a algunos archivos de sus dispositivos:

    • Falta el archivo.
    • Al intentar abrir el archivo se produce un error.

  • Los archivos tienen una extensión personalizada o una extensión o nombre de archivo diferente al anterior.

  • El fondo de pantalla ha cambiado a una nota de rescate o el dispositivo está bloqueado.
  • Cuando sube un archivo sospechoso a ID Ransomware, este le da un nombre de tipo ransomware.
  • Una detección de CryptoGuard, como se explica en Detecciones de CryptoGuard y acciones requeridas.

Vaya a Flujo de trabajo de remediación por infección de ransomware.

Síntomas de una infección por TrickBot o Emotet

Si tiene brotes activos de Emotet y TrickBot, puede ver las siguientes detecciones en Sophos Enterprise Console o Sophos Central.

  • HPmal/Emotet-C
  • HPmal/TrikBot-G
  • Mal/EncPk-AN
  • HPmal/Crushr-AU
  • Troj/Inject-DTW
  • Troj/LnkRun-T

También puede ver las detecciones siguientes, aunque no son exclusivas de Emotet o TrickBot:

  • Mal/Generic-R
  • Mal/Generic-S
  • ML/PE-A
  • Code Cave
  • APC Violation
  • Safe Browsing
  • LoadLib

Otra indicación de una infección por Emotet o TrickBot es la presencia de servicios desconocidos adicionales creados en el dispositivo con nombres numéricos aleatorios.

El ejemplo siguiente muestra cuatro servicios Emotet o TrickBot (otros dispositivos infectados pueden tener más) en un dispositivo afectado.

Ejemplo de un ataque de TrickBot o Emotet.

Vaya a Flujo de trabajo de remediación por infección de TrickBot o Emotet.

Síntomas de una infección por un criptominero

Si tiene una infección activa por un criptominero, es posible que vea lo siguiente:

  • Un dispositivo tiene un uso excesivo de CPU/RAM, incluso cuando el dispositivo está inactivo.
  • Un dispositivo se ralentiza drásticamente. O un dispositivo se ralentiza de forma intermitente sin ninguna relación con las acciones del usuario.
  • Se producen picos de PowerShell en el procesador de los dispositivos, lo que los hace inservibles.
  • Cuentas bloqueadas.

  • La ejecución de PowerShell es detectada y terminada por Sophos con al menos uno de los siguientes indicadores:

    • AMSI/Miner-B
    • AMSI/Miner-C
    • HPmal/WMIPOW-A
    • HPmal/HPWMIJS-A
    • HPmal/mPShl32-A
    • HPmal/mPShl64-A
    • HPmal/HPWMIJS-A

  • Una alerta de CredGuard, en Sophos Central o en el dispositivo, con el mensaje siguiente: "We prevented credential theft in Windows PowerShell”.

Vaya a Flujo de trabajo de remediación por infección de un criptominero.

Síntomas de una infección por un gusano LNK malicioso

Si tiene un gusano LNK malicioso activo, quizá vea lo siguiente:

  • Hay archivos de aspecto legítimo con una extensión .LNK generada repetidamente en sus recursos compartidos de archivos.
  • Sophos está detectando o limpiando archivos .LNK.
  • Los usuarios se quejan de que los accesos directos legítimos de LNK no funcionan correctamente.

Vaya a Flujo de trabajo de remediación por infección de un gusano LNK malicioso.