Pular para o conteúdo

Lidar com ransomwares

Isso é o que acontece quando detectamos um ransomware e o que fazer em relação a isso.

Se você souber que uma detecção é um falso positivo, consulte Lidar com falsos positivos.

Quando detectamos um ransomware:

  • Verificamos se é um aplicativo legítimo ou não, como um produto com encriptação arquivo/pasta. Se não for, paramos a sua execução.
  • Os arquivos são restaurados a seu estado pré-modificação.
  • O usuário final é notificado.
  • Um gráfico de ameaça é gerado. Isso ajuda a decidir se são necessárias ações adicionais.
  • É iniciada uma varredura para identificar e eliminar outros malwares no dispositivo.
  • O estado de salubridade do dispositivo volta para Verde.

Para obter mais informações, consulte Alertas.

O que fazer se você vir “Ransomware detectado”

Se você ainda precisar fazer a limpeza, faça o seguinte:

  • Se o envio automático não estiver habilitado, envie-nos um exemplo do ransomware. Nós iremos classificá-lo e atualizar nossas regras: se mal-intencionado, o Sophos Central irá bloqueá-lo no futuro. Consulte Como enviar exemplos de arquivos suspeitos para a Sophos.
  • Mova o computador temporariamente para uma rede que não coloque em risco os outros computadores. No computador, execute o Sophos Clean (se não estiver instalado, faça seu download do site da web).

    Você pode executar o Sophos Clean em um servidor a partir do Sophos Central.

  • No Sophos Central, vá até Apresentação > Alertas e marque o alerta como resolvido.

O que fazer se você vir "Ransomware executado remotamente detectado"

Detectamos um ransomware em execução em um computador remoto tentando encriptar arquivos nos compartilhamentos de rede.

Bloqueamos o acesso de gravação aos compartilhamentos de rede a partir do endereço de IP do computador remoto. Se o computador com esse endereço for uma estação de trabalho gerenciada pelo Sophos Central, e Proteger arquivos de documento de ransomwares (CryptoGuard) estiver habilitada, nós eliminaremos o ransomware automaticamente

Você precisa seguir este procedimento:

  • Encontre o computador em que o ransomware está em execução.
  • Se o computador for gerenciado pelo Sophos Central, certifique-se de que Proteger arquivos de documento de ransomwares (CryptoGuard) esteja habilitada na política.
  • Se a limpeza não ocorrer automaticamente: Mova o computador para uma rede que não coloque em risco os outros computadores. Depois, no computador, execute o Sophos Clean (se não estiver instalado, faça seu download do site da web).
  • No Sophos Central, vá até Apresentação > Alertas e marque o alerta como resolvido.

O que fazer se você vir "Detectado um ransomware atacando uma máquina remota"

Detectamos que este computador está tentando encriptar arquivos em outros computadores.

Bloqueamos o acesso de gravação do computador aos compartilhamentos de rede. Se o computador for uma estação de trabalho, e a opção Proteger arquivos de documento de ransomwares (CryptoGuard) estiver ativada, eliminaremos o ransomware automaticamente.

Você precisa seguir este procedimento:

  • Certifique-se de que a opção Proteger arquivos de documento de ransomwares (CryptoGuard) está ativada na política Sophos Central. Isso fornecerá mais informações.
  • Se a limpeza não ocorrer automaticamente: Mova o computador para uma rede que não coloque em risco os outros computadores. Depois, no computador, execute o Sophos Clean (se não estiver instalado, faça seu download do site da web).
  • No Sophos Central, vá até Apresentação > Alertas e marque o alerta como resolvido.
Voltar ao topo