Saltar al contenido
Esta página o parte de ella se ha traducido de forma automática.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=ransomware

Tratar el ransomware

En este apartado se describe qué ocurre cuando se detecta un programa de ransomware y qué hacer al respecto.

Si sabe que una detección es un falso positivo, consulte Tratar los falsos positivos.

Cuando se detecta ransomware:

  • Se comprueba si es una aplicación legítima, por ejemplo un producto de cifrado de archivos o carpetas. Si no es así, lo detenemos.
  • Los archivos se revierten a su estado previo a la modificación.
  • Se notifica al usuario.
  • Se genera un gráfico de amenazas. Le ayudarán a determinar si se deben tomar medidas adicionales.
  • Un escaneado comprueba todos los procesos en memoria para detectar comportamientos sospechosos.
  • El estado del dispositivo se vuelve a establecer en Verde.

Para obtener más información, consulte Alertas.

Qué hacer si ve el mensaje “Ransomware detectado”

Si no está activado el envío automático de muestras, envíenos una muestra del ransomware. Consulte Cómo enviar muestras de archivos sospechosos a Sophos.

Lo clasificaremos y actualizaremos nuestras reglas. Si es malicioso, Sophos Central lo bloqueará en el futuro.

Qué hacer si ve el mensaje "Se ha detectado ransomware ejecutado remotamente"

Se ha detectado ransomware ejecutándose en un equipo remoto e intentando cifrar archivos en recursos compartidos de red.

Se ha bloqueado el acceso de escritura a los recursos compartidos de red desde la dirección IP del equipo remoto. Si el equipo con esa dirección es una estación de trabajo gestionada por Sophos Central y Proteger archivos de documentos de ransomware (CryptoGuard) está habilitado, procederemos a limpiar el ransomware automáticamente.

Debe hacer lo siguiente:

  1. Localice el equipo en el que se está ejecutando el ransomware.
  2. Si el equipo está gestionado por Sophos Central, asegúrese de que Proteger archivos de documentos de ransomware (CryptoGuard) está activado en la política.

  3. Envíenos una muestra del ransomware. Consulte Cómo enviar muestras de archivos sospechosos a Sophos.

    Lo clasificaremos y actualizaremos nuestras reglas. Si es malicioso, Sophos Central lo bloqueará en el futuro.

Qué hacer si ve el mensaje "Se ha detectado un ataque de ransomware contra un equipo remoto"

Se ha detectado que este equipo está intentando cifrar archivos en otros equipos.

Se ha bloqueado el acceso de escritura de este equipo a los recursos compartidos de red. Si el equipo es una estación de trabajo, y Proteger archivos de documentos de ransomware (CryptoGuard) está habilitado, limpiaremos el ransomware automáticamente.

Debe hacer lo siguiente:

  1. Asegúrese de que Proteger archivos de documentos de ransomware (CryptoGuard) está activado en la política de Sophos Central. Esto proporciona más información.

  2. Envíenos una muestra del ransomware. Consulte Cómo enviar muestras de archivos sospechosos a Sophos.

    Lo clasificaremos y actualizaremos nuestras reglas. Si es malicioso, Sophos Central lo bloqueará en el futuro.