跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/mdr/help/zh-tw/index.html?contextId=Identification

識別

惡意軟體感染類型及其常見表現。

如果您遇到的情況符合或類似於列出的表現,請依照對應工作流程中的步驟操作。

勒索軟體感染的表現

  • 您無法存取裝置上的某些檔案:

    • 檔案遺失。
    • 嘗試開啟檔案導致出現錯誤。

  • 檔案具有自訂副檔名或不同於以前的副檔名或檔案名。

  • 桌布已變更為勒索信,或您的裝置已鎖定。
  • 您將可疑檔案上傳至 ID 勒索軟體,它會為您提供勒索軟體類型名稱。
  • CryptoGuard 偵測,如 CryptoGuard 偵測和必需動作中所述。

移至勒索軟體補救工作流程

TrickBot 或 Emotet 感染的表現

如果出現了 Emotet 和 TrickBot 的活動爆發,您可能會在 Sophos Enterprise Console 或 Sophos Central 中看到以下偵測。

  • HPmal/Emotet-C
  • HPmal/TrikBot-G
  • Mal/EncPk-AN
  • HPmal/Crushr-AU
  • Troj/Inject-DTW
  • Troj/LnkRun-T

您也可能會看到下列偵測,儘管這些並非 Emotet 或 TrickBot 專屬的偵測:

  • Mal/Generic-R
  • Mal/Generic-S
  • ML/PE-A
  • Code Cave
  • APC Violation
  • Safe Browsing
  • LoadLib

Emotet 或 TrickBot 感染的另一個跡象是在裝置上建立了帶有隨機數字名稱的其他未知服務。

下面的範例顯示了受入侵裝置上的四個 Emotet 或 TrickBot 服務(其他受感染裝置可能有更多)。

TrickBot 或 Emotet 攻擊的範例。

移至 TrickBot 或 Emotet 補救工作流程

加密貨幣挖礦程式感染的表現

如果出現作用中的加密貨幣挖礦程式感染,您可能會看到下列情況:

  • 即使裝置處於空閒狀態,裝置的 CPU/RAM 使用率也過高。
  • 裝置速度大幅減慢。或者,裝置間歇性地減慢速度,減速與使用者動作無關。
  • PowerShell 使裝置 CPU 突增,使其無法使用。
  • 鎖定的帳戶。

  • Sophos 偵測到並終止了 PowerShell 執行,至少具有以下旗標之一:

    • AMSI/Miner-B
    • AMSI/Miner-C
    • HPmal/WMIPOW-A
    • HPmal/HPWMIJS-A
    • HPmal/mPShl32-A
    • HPmal/mPShl64-A
    • HPmal/HPWMIJS-A

  • Sophos Central 中或裝置上的 CredGuard 警示,並顯示下列訊息:"We prevented credential theft in Windows PowerShell”

移至加密貨幣挖礦程式補救工作流程

惡意 LNK 蠕蟲的表現

如果出現作用中的惡意 LNK 蠕蟲,您可能會看到下列情況:

  • 檔案共用上重複產生具有 .LNK 副檔名的看似合法檔案。
  • Sophos 正在偵測或清理 .LNK 檔案。
  • 使用者抱怨合法的 LNK 捷徑無法正常運作。

移至惡意 LNK 蠕蟲補救工作流程