跳至內容

威脅防護的警示

這些是威脅防護警告。

有以下這些類型的威脅防護警示。

有關威脅的資訊和如何處理其的建議,請點選警示中的名稱。

或者,前往 Sophos 網站上的威脅分析頁面。在瀏覽威脅分析下點選威脅類型的連結,然後搜尋威脅或在清單中檢視最新項目。

您可能也會看到惡意軟體偵測在事件清單中顯示為 ML/PE-A,請參見 ML/PE-A 偵測說明

警示類型 說明
即時防護已停用 電腦上的即時防護已停用超過 2.5 小時。即時防護應始終開啟。Sophos Support 可能會建議您在短期內將其關閉,以便進行調查。
未清理惡意程式

即使自動清理可用,某些偵測到的惡意程式在 24 小時後仍無法移除。惡意程式可能經由不提供自動清理的掃描偵測到,例如,本機設定的即時掃描。您可以採用以下方式之一處理惡意程式:

  • 透過在策略中排程掃描(然後將啟用自動清理),對其進行集中清清理。
  • 透過隔離管理器在本機將其清理。
需要手動清理

某些偵測到的惡意程式無法自動移除,因為自動清理不可用。

點選警示中的「描述」以前往 Sophos 網站,在那裡您可以閱讀有關如何清除威脅的建議。

如果需要幫助,請聯絡 Sophos Support。

未清理執行中的惡意程式

在電腦上執行,並顯示惡意或可疑行為的程式無法被清理。

點選警示中的「描述」以瞭解更多關於威脅及如何處理威脅的資訊。

如果需要幫助,請聯絡 Sophos Support。

請參閱惡意行為類型

偵測到惡意資料流量

已經偵測到惡意網路資料流量,其可能被引導到涉及殭屍網路或其他惡意程式攻擊的命令與控制伺服器。

點選警示中的「描述」以瞭解更多關於威脅及如何處理威脅的資訊。

如果需要幫助,請聯絡 Sophos Support。

週期性感染

在 Sophos Central 嘗試清理威脅後,電腦受到了重新感染。這可能是因為威脅具有未偵測到的隱藏元件。可能需要對威脅進行深入分析。

請聯絡 Sophos Support 尋求幫助。

偵測到 Ransomware

我們已偵測到勒索軟體,並攔截了其對檔案系統的存取。如果電腦為工作站,我們將自動清理勒索軟體。您需要進行以下操作:

  • 如果您仍然需要清理:將電腦暫時移動到不會影響到其他電腦的網路。前往電腦並執行 Sophos Clean(如果未安裝,請從我們的網站下載)。

    您可在 Sophos Central 的伺服器上運行 Sophos Clean。請參閱 警示

  • 如果未啟用自動樣本提交,傳送一份勒索軟體樣本給我們。我們會將其分類並更新我們的規則:如果是惡意的樣本,Sophos Central 以後會開啟攔截。
  • 前往 Sophos Central,前往警示,並將警示標記為已解決。
偵測到勒索軟體攻擊遠端電腦

我們已偵測到此電腦嘗試加密其他電腦上的檔案。

我們已攔截了此電腦對網路共用的寫入存取。如果電腦為工作站,且 保護來自 Ransomware 的文件檔案 (CryptoGuard) 已啟用,我們將自動清理勒索軟體。

您需要進行以下操作:

  • 確保 保護來自 Ransomware 的文件檔案 (CryptoGuard) 已在 Sophos Central 策略中啟用。這提供更多資訊。
  • 如果清理不自動進行:將電腦移動到不會影響到其他電腦的網路。然後,前往電腦並執行 Sophos Clean(如果未安裝,請從我們的網站下載)。
  • 前往 Sophos Central,前往警示,並將警示標記為已解決。

警示類型 說明
偵測到可能不需要的應用程式 (PUA) 已偵測到一些軟體可能是廣告軟體或其他可能不需要的軟體。預設情況下,將攔截可能不需要的應用程式。如果您認為其有用,可以對其進行許可,或者將其清理。
許可 PUA

您可以採用兩種方式中的一種對 PUA 進行許可,這取決於您是要在所有電腦上許可還是僅在一些電腦上許可。

  • 警示 頁面中,選取警示並點選頁面右上角的 許可 PUA 按鈕。將 PUA 新增到惡意程式防護策略中的掃描排除項。
  • 將 PUA 新增到惡意程式防護策略中的掃描排除項。這僅會對策略所適用的電腦上的 PUA 進行許可。
清理 PUA

您可使用兩種方式中的一種來清理 PUA。

  • 警示 頁面中,選取警示並點選頁面右上角的 清理 PUA 按鈕。
  • 在受影響電腦上代理軟體的隔離管理器中將其清理。

如果未在網路共用中偵測到 PUA,則清理可能不可用。這是因為 Sophos 代理沒有足夠的權限來清理檔案。

未清理可能不需要的應用程式 無法清除可能不需要的應用程式。可能需要進行手動清理。點選警示中的「描述」以瞭解更多關於應用程式及如何處理應用程式的資訊。如果需要幫助,請聯絡 Sophos Support。
若要完成清理,需要進行電腦掃描

威脅清理需要完整的電腦掃描。若要掃描電腦,請前往 電腦 頁面,點選電腦的名稱以打開詳細資訊頁面,然後點選 立即掃描 按鈕。

掃描可能要花一些時間。完成時,您將在日誌紀錄與報告 > 事件頁面上看到「掃描『掃描我的電腦』完成」事件和任何成功的清理事件。您可以在 警示 頁面中檢視未成功的清理。

若電腦離線,則會在其恢復上線時進行掃描。如果電腦掃描已經在執行,則將略過新掃描請求,並將執行之前的掃描。

或者,可以使用 Sophos 代理在受影響的電腦上執行本機掃描。使用 Windows 電腦上 Sophos Endpoint 的掃描選項,或者 Mac 上 Sophos Anti-Virus 的掃描此 Mac選項。

若要完成清理,需要進行重新啟動 已部分清除該威脅,但需要重新啟動端點電腦來完成清理。
偵測到於遠端執行的 Ransomware

我們偵測到勒索軟體在遠端電腦中執行,並且企圖加密網路共用中的檔案。

我們已經攔截了從遠端電腦的 IP 位址對網路共用的寫入存取。如果具有該位址的電腦為受 Sophos Central 管理工作站,並且啟用了 保護來自 Ransomware 的文件檔案 (CryptoGuard) 已啟用,我們將自動清理勒索軟體

需要進行以下操作:

  • 尋找勒索軟體所執行的電腦。
  • 如果該電腦由 Sophos Central 管理,請確保策略中啟用了 如果該電腦由 Sophos Central 管理,請確保策略中啟用了
  • 如果清理不自動進行:將電腦移動到不會影響到其他電腦的網路。然後,前往電腦並執行 Sophos Clean(如果未安裝,請從我們的網站下載)。
  • 前往 Sophos Central,前往警示,並將警示標記為已解決。