Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/mdr/help/pt-br/index.html?contextId=LNK

Fluxo de remediação do worm LNK mal-intencionado

Siga estas etapas para remediar um ataque do worm LNK mal-intencionado.

Introdução

Este artigo da base de conhecimentos tem informações úteis sobre como lidar com um worm LNK. Consulte Como investigar malware LNK.

Identifique a ameaça

Para confirmar que você tem um worm LNK ativo, faça o seguinte.

  1. Verifique seus alertas para ver se a Sophos está detectando ou limpando arquivos .lnk.

  2. Procure arquivos com a extensão .lnk gerados repetidamente onde você não esperaria encontrá-los, por exemplo, em seus compartilhamentos de arquivos.

    Esses arquivos são repetidamente descartados em um local após serem detectados e limpos. Seus dispositivos têm uma infecção na memória que está descartando os arquivos. Você precisa encontrar a origem da infecção.

  3. Seus usuários podem achar que seus atalhos não estão mais funcionando corretamente.

Investigue usando Source of Infection

Para encontrar a origem da infecção, faça o seguinte:

  1. Baixe e execute a ferramenta Source of Infection. Consulte Sophos source of infection tool (SOI): Como fazer download e usar.

    1. Mova a ferramenta Source of Infection para o dispositivo que deseja investigar.
    2. Extraia SourceOfInfection.exe para a raiz da unidade C.
    3. Abra o Prompt de comando como administrador.
    4. Localize e execute SourceOfInfection.exe.
    5. Pressione Enter para executar o comando.
    6. Deixe o Source of Infection em execução. Você deve deixar a janela do prompt de comando aberta para fazer isso.
    7. Quando ocorrer uma nova detecção do LNK no dispositivo, interrompa o Source of Infection fechando a janela do prompt de comando.

  2. Revise o arquivo de log para descobrir de onde vem a infecção. Você encontra os arquivos de log em %temp%\Source of Infection Log.csv.

    Este é um exemplo de um arquivo de log.

    Data/Hora Caminho do arquivo Processo/rede Caminho do processo/Nome da máquina
    27-12-19 11:30 C:\TestShareOn2016\__\DriveMgr.exe Rede 192.168.30.141
    27-12-19 11:30 C:\TestShareOn2016\.lnk Rede 192.168.30.141

    Você deve ter uma confirmação positiva de um IP possivelmente infectado e precisa de ações de remediação.

    Neste exemplo, identificamos 192.168.30.141 descartando um .LNK e um DriveMgr.exe em um compartilhamento chamado TestShareOn2016.

Remediar um worm LNK ativo

Para remover o worm, faça o seguinte:

  1. Se o dispositivo infectado não tiver o Sophos Endpoint Protection, instale-o.

  2. Execute uma varredura completa.

    Isso remove a infecção.

  3. Se você ainda estiver recebendo arquivos .lnk no local, você tem uma nova infecção. Encontre o arquivo .lnk e envie uma amostra.

  4. Baixe o Autoruns para Windows e use-o para encontrar o worm.

    Consulte Como usar o Microsoft Autoruns para localizar malware não detetado.

  5. Verifique os seguintes locais, pois são os lugares mais prováveis onde você encontrará o worm.

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  6. Altere a conta de usuário que você está exibindo. Uma conta de usuário não padrão pode estar carregando o worm. Para exibir outros usuários no Autoruns, faça o seguinte:

    1. Clique em File > Run as Administrator.

      Aguarde até que as informações no Autoruns sejam recarregadas.

    2. Clique em Users e verifique cada conta de usuário em busca do worm.

      Esse worm pode se esconder em diferentes contas de usuário. A imagem a seguir mostra um exemplo de informações de uma conta de usuário infectada no Autoruns.

      Esta captura de tela mostra uma conta de usuário infectada por um worm LNK.

  7. Quando você encontrar os arquivos, compacte-os para impedir que sejam executados.

  8. Envie os arquivos.

    A Sophos responderá ao envio da amostra. Se os arquivos forem mal-intencionados, a Sophos atualizará seus arquivos de assinatura.

  9. Faça uma varredura completa e verifique se as novas detecções foram eliminadas.

  10. Se ainda houver indícios de um worm LNK ativo, existem malwares adicionais não detectados em seus dispositivos. Podem ser necessárias várias tentativas para remover o worm, pois uma única variante ou dispositivo desprotegido pode produzir novos arquivos de malware .lnk em dispositivos protegidos e limpos. Para resolver esse problema, siga este procedimento:
    1. Faça varreduras completas em todos os seus dispositivos.
    2. Execute o Source of Infection novamente para saber de onde vem a infecção
    3. Repita essas etapas até que os arquivos de malware .lnk não sejam mais replicados em seus dispositivos.

Vídeo de remediação do worm LNK mal-intencionado

Este vídeo aborda este fluxo de trabalho.