Lidar com ransomwares
Isso é o que acontece quando detectamos um ransomware e o que fazer em relação a isso.
Se você souber que uma detecção é um falso positivo, consulte Lidar com falsos positivos.
Quando detectamos um ransomware:
- Verificamos se é um aplicativo legítimo ou não, como um produto com encriptação arquivo/pasta. Se não for, paramos a sua execução.
- Os arquivos são restaurados a seu estado pré-modificação.
- O usuário final é notificado.
- Um gráfico de ameaça é gerado. Isso ajuda a decidir se são necessárias ações adicionais.
- É iniciada uma varredura para identificar e eliminar outros malwares no dispositivo.
- O estado de salubridade do dispositivo volta para Verde.
Para obter mais informações, consulte Alertas.
O que fazer se você vir “Ransomware detectado”
Se você ainda precisar fazer a limpeza, faça o seguinte:
- Se o envio automático não estiver habilitado, envie-nos um exemplo do ransomware. Nós iremos classificá-lo e atualizar nossas regras: se mal-intencionado, o Sophos Central irá bloqueá-lo no futuro. Consulte Como enviar exemplos de arquivos suspeitos para a Sophos.
-
Mova o computador temporariamente para uma rede que não coloque em risco os outros computadores. No computador, execute o Sophos Clean (se não estiver instalado, faça seu download do site da web).
Você pode executar o Sophos Clean em um servidor a partir do Sophos Central.
-
No Sophos Central, vá até Alertas e marque o alerta como resolvido.
O que fazer se você vir "Ransomware executado remotamente detectado"
Detectamos um ransomware em execução em um computador remoto tentando encriptar arquivos nos compartilhamentos de rede.
Bloqueamos o acesso de gravação aos compartilhamentos de rede a partir do endereço de IP do computador remoto. Se o computador com esse endereço for uma estação de trabalho gerenciada pelo Sophos Central, e Proteger arquivos de documento de ransomwares (CryptoGuard) estiver habilitada, nós eliminaremos o ransomware automaticamente
Você precisa seguir este procedimento:
- Encontre o computador em que o ransomware está em execução.
- Se o computador for gerenciado pelo Sophos Central, certifique-se de que Proteger arquivos de documento de ransomwares (CryptoGuard) esteja habilitada na política.
- Se a limpeza não ocorrer automaticamente: Mova o computador para uma rede que não coloque em risco os outros computadores. Depois, no computador, execute o Sophos Clean (se não estiver instalado, faça seu download do site da web).
- No Sophos Central, vá até Alertas e marque o alerta como resolvido.
O que fazer se você vir "Detectado um ransomware atacando uma máquina remota"
Detectamos que este computador está tentando encriptar arquivos em outros computadores.
Bloqueamos o acesso de gravação do computador aos compartilhamentos de rede. Se o computador for uma estação de trabalho, e a opção Proteger arquivos de documento de ransomwares (CryptoGuard) estiver ativada, eliminaremos o ransomware automaticamente.
Você precisa seguir este procedimento:
- Certifique-se de que a opção Proteger arquivos de documento de ransomwares (CryptoGuard) está ativada na política Sophos Central. Isso fornecerá mais informações.
- Se a limpeza não ocorrer automaticamente: Mova o computador para uma rede que não coloque em risco os outros computadores. Depois, no computador, execute o Sophos Clean (se não estiver instalado, faça seu download do site da web).
- No Sophos Central, vá até Alertas e marque o alerta como resolvido.