Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=LNK

Remediação do worm LNK mal-intencionado

Siga estas etapas para remediar um ataque do worm LNK mal-intencionado.

Introdução

Este artigo da base de conhecimentos tem informações úteis sobre como lidar com um worm LNK. Consulte Como investigar malware LNK.

Identifique a ameaça

Para confirmar que você tem um worm LNK ativo, faça o seguinte.

  1. Verifique seus alertas para ver se a Sophos está detectando ou limpando arquivos .lnk.

  2. Procure arquivos com a extensão .lnk gerados repetidamente onde você não esperaria encontrá-los, por exemplo, em seus compartilhamentos de arquivos.

    Esses arquivos são repetidamente descartados em um local após serem detectados e limpos. Seus dispositivos têm uma infecção na memória que está descartando os arquivos. Você precisa encontrar a origem da infecção.

  3. Seus usuários podem achar que seus atalhos não estão mais funcionando corretamente.

Remediar um worm LNK ativo

Para remover o worm, faça o seguinte:

  1. Se o dispositivo infectado não tiver o Sophos Endpoint Protection, instale-o.

  2. Execute uma varredura completa.

    Isso remove a infecção.

  3. Se você ainda estiver recebendo arquivos .lnk no local, você tem uma nova infecção. Encontre o arquivo .lnk e envie uma amostra.

  4. Baixe o Autoruns para Windows e use-o para encontrar o worm.

    Consulte Como usar o Microsoft Autoruns para localizar malware não detetado.

  5. Verifique os seguintes locais, pois são os lugares mais prováveis onde você encontrará o worm.

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  6. Altere a conta de usuário que você está exibindo. Uma conta de usuário não padrão pode estar carregando o worm. Para exibir outros usuários no Autoruns, faça o seguinte:

    1. Clique em File > Run as Administrator.

      Aguarde até que as informações no Autoruns sejam recarregadas.

    2. Clique em Users e verifique cada conta de usuário em busca do worm.

      Esse worm pode se esconder em diferentes contas de usuário. A imagem a seguir mostra um exemplo de informações de uma conta de usuário infectada no Autoruns.

      Esta captura de tela mostra uma conta de usuário infectada por um worm LNK.

  7. Quando você encontrar os arquivos, compacte-os para impedir que sejam executados.

  8. Envie os arquivos.

    A Sophos responderá ao envio da amostra. Se os arquivos forem mal-intencionados, a Sophos atualizará seus arquivos de assinatura.

  9. Faça uma varredura completa e verifique se as novas detecções foram eliminadas.

  10. Se ainda houver indícios de um worm LNK ativo, existem malwares adicionais não detectados em seus dispositivos. Podem ser necessárias várias tentativas para remover o worm, pois uma única variante ou dispositivo desprotegido pode produzir novos arquivos de malware .lnk em dispositivos protegidos e limpos.

Vídeo de remediação do worm LNK mal-intencionado

Este vídeo aborda este fluxo de trabalho.