Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/mdr/help/pt-br/index.html?contextId=Identification

Identificação

Tipos de infecção por malware e seus sintomas comuns.

Se os sintomas forem semelhantes aos listados, siga as etapas no fluxo de trabalho correspondente.

Sintomas de uma infecção por ransomware

  • Não é possível acessar determinados arquivos em seus dispositivos:

    • O arquivo está ausente.
    • Tentar abrir o arquivo resulta em um erro.

  • Os arquivos têm uma extensão personalizada ou uma extensão ou nome de arquivo diferente do anterior.

  • O papel de parede foi alterado para um pedido de resgate ou seu dispositivo está bloqueado.
  • Você carrega um arquivo suspeito em ID Ransomware e vê o nome de um tipo de ransomware.
  • Uma detecção do CryptoGuard, como explicado em Detecções do CryptoGuard e ações necessárias.

Vá para Fluxo de remediação de ransomware.

Sintomas de uma infecção por TrickBot ou Emotet

Se houver surtos ativos de Emotet e TrickBot, você poderá ver as seguintes detecções no Sophos Enterprise Console ou Sophos Central.

  • HPmal/Emotet-C
  • HPmal/TrikBot-G
  • Mal/EncPk-AN
  • HPmal/Crushr-AU
  • Troj/Inject-DTW
  • Troj/LnkRun-T

Você também pode ver as seguintes detecções, embora elas não sejam exclusivas do Emotet ou TrickBot:

  • Mal/Generic-R
  • Mal/Generic-S
  • ML/PE-A
  • Code Cave
  • APC Violation
  • Safe Browsing
  • LoadLib

Outra indicação de uma infecção por Emotet ou TrickBot é a presença de serviços desconhecidos adicionais criados no dispositivo com nomes numéricos aleatórios.

O exemplo abaixo mostra quatro serviços Emotet ou TrickBot (outros dispositivos infectados podem ter mais) em um dispositivo comprometido.

Exemplo de um ataque de TrickBot ou Emotet.

Vá para Fluxo de remediação de TrickBot ou Emotet.

Sintomas de uma infecção por minerador de moedas

Se houver uma infecção ativa por um minerador de moedas, você poderá ver o seguinte:

  • Um dispositivo com uso excessivo de CPU/RAM, mesmo quando está ocioso.
  • Um dispositivo fica drasticamente lento. Ou um dispositivo fica lento intermitentemente sem se vincular às ações do usuário.
  • O PowerShell aumenta o uso da CPU nos dispositivos, inutilizando-os.
  • Contas bloqueadas.

  • A execução do PowerShell é detectada e encerrada pela Sophos com pelo menos um dos seguintes sinalizadores:

    • AMSI/Miner-B
    • AMSI/Miner-C
    • HPmal/WMIPOW-A
    • HPmal/HPWMIJS-A
    • HPmal/mPShl32-A
    • HPmal/mPShl64-A
    • HPmal/HPWMIJS-A

  • Um alerta do CredGuard, no Sophos Central ou no dispositivo, com a seguinte mensagem: "We prevented credential theft in Windows PowerShell”.

Vá para Fluxo de remediação de mineradores de moedas.

Sintomas de um worm LNK mal-intencionado

Se houver um worm LNK mal-intencionado ativo, você poderá ver o seguinte:

  • Há arquivos com aparência legítima com uma extensão .LNK gerados repetidamente em seus compartilhamentos de arquivos.
  • A Sophos está detectando ou eliminando os arquivos .LNK.
  • Os usuários estão reclamando que atalhos LNK legítimos não estão funcionando corretamente.

Vá para Fluxo de remediação de worm LNK mal-intencionado.