Identificação
Tipos de infecção por malware e seus sintomas comuns.
Se os sintomas forem semelhantes aos listados, siga as etapas no fluxo de trabalho correspondente.
Sintomas de uma infecção por ransomware
-
Não é possível acessar determinados arquivos em seus dispositivos:
- O arquivo está ausente.
- Tentar abrir o arquivo resulta em um erro.
-
Os arquivos têm uma extensão personalizada ou uma extensão ou nome de arquivo diferente do anterior.
- O papel de parede foi alterado para um pedido de resgate ou seu dispositivo está bloqueado.
- Você carrega um arquivo suspeito em ID Ransomware e vê o nome de um tipo de ransomware.
- Uma detecção do CryptoGuard, como explicado em Detecções do CryptoGuard e ações necessárias.
Vá para Fluxo de remediação de ransomware.
Sintomas de uma infecção por TrickBot ou Emotet
Se houver surtos ativos de Emotet e TrickBot, você poderá ver as seguintes detecções no Sophos Enterprise Console ou Sophos Central.
HPmal/Emotet-C
HPmal/TrikBot-G
Mal/EncPk-AN
HPmal/Crushr-AU
Troj/Inject-DTW
Troj/LnkRun-T
Você também pode ver as seguintes detecções, embora elas não sejam exclusivas do Emotet ou TrickBot:
Mal/Generic-R
Mal/Generic-S
ML/PE-A
Code Cave
APC Violation
Safe Browsing
LoadLib
Outra indicação de uma infecção por Emotet ou TrickBot é a presença de serviços desconhecidos adicionais criados no dispositivo com nomes numéricos aleatórios.
O exemplo abaixo mostra quatro serviços Emotet ou TrickBot (outros dispositivos infectados podem ter mais) em um dispositivo comprometido.
Vá para Fluxo de remediação de TrickBot ou Emotet.
Sintomas de uma infecção por minerador de moedas
Se houver uma infecção ativa por um minerador de moedas, você poderá ver o seguinte:
- Um dispositivo com uso excessivo de CPU/RAM, mesmo quando está ocioso.
- Um dispositivo fica drasticamente lento. Ou um dispositivo fica lento intermitentemente sem se vincular às ações do usuário.
- O PowerShell aumenta o uso da CPU nos dispositivos, inutilizando-os.
- Contas bloqueadas.
-
A execução do PowerShell é detectada e encerrada pela Sophos com pelo menos um dos seguintes sinalizadores:
AMSI/Miner-B
AMSI/Miner-C
HPmal/WMIPOW-A
HPmal/HPWMIJS-A
HPmal/mPShl32-A
HPmal/mPShl64-A
HPmal/HPWMIJS-A
-
Um alerta do CredGuard, no Sophos Central ou no dispositivo, com a seguinte mensagem:
"We prevented credential theft in Windows PowerShell”
.
Vá para Fluxo de remediação de mineradores de moedas.
Sintomas de um worm LNK mal-intencionado
Se houver um worm LNK mal-intencionado ativo, você poderá ver o seguinte:
- Há arquivos com aparência legítima com uma extensão
.LNK
gerados repetidamente em seus compartilhamentos de arquivos. - A Sophos está detectando ou eliminando os arquivos
.LNK
. - Os usuários estão reclamando que atalhos LNK legítimos não estão funcionando corretamente.