跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=ransomware

處理勒索軟體

這是我們偵測到勒索軟體時會出現的情況及處理方式。

如果您知道偵測是誤判,請參見 處理誤判

我們偵測到勒索軟體時:

  • 我們會檢查是否為正當應用程式,如檔案/資料夾加密產品。如果不是,我們會停止其執行。
  • 檔案會恢復至修改前的=狀態。
  • 通知終端使用者。
  • 已生成一項威脅圖表。這有助您決定是否採取額外行動。
  • 掃描會檢查記憶體中的所有進程是否存在可疑行為。
  • 裝置的健康狀態恢復成綠色。

如欲瞭解更多詳情,請參閱 警示

如果您看到“檢測到勒索軟件”該怎麼辦

如果您仍需要清理,請向我們發送勒索軟體樣本。請參閱如何將可疑檔案的樣本提交給 Sophos

我們將對其進行分類並更新我們的規則。如果是惡意的樣本,Sophos Central 以後會開啟攔截。

如果您看到“檢測到遠程運行的勒索軟件”該怎麼辦

我們偵測到勒索軟體在遠端電腦中執行,並且企圖加密網路共用中的檔案。

我們已經攔截了從遠端電腦的 IP 位址對網路共用的寫入存取。如果具有該位址的電腦為受 Sophos Central 管理工作站,並且啟用了 保護來自 Ransomware 的文件檔案 (CryptoGuard),我們將自動清理勒索軟體。

您需要進行以下操作:

  1. 尋找勒索軟體所執行的電腦。
  2. 如果該電腦由 Sophos Central 管理,請確保策略中啟用了 保護來自 Ransomware 的文件檔案 (CryptoGuard)

  3. 向我們發送勒索軟體示例。請參閱如何將可疑檔案的樣本提交給 Sophos

    我們將對其進行分類並更新我們的規則。如果是惡意的樣本,Sophos Central 以後會開啟攔截。

如果您看到“勒索軟件攻擊檢測到的遠程電腦”該怎麼辦

我們已偵測到此電腦嘗試加密其他電腦上的檔案。

我們已攔截了此電腦對網路共用的寫入存取。如果電腦為工作站,且 保護來自 Ransomware 的文件檔案 (CryptoGuard) 已啟用,我們將自動清理勒索軟體。

您需要進行以下操作:

  1. 確保 保護來自 Ransomware 的文件檔案 (CryptoGuard) 已在 Sophos Central 策略中啟用。這提供更多資訊。

  2. 向我們發送勒索軟體示例。請參閱如何將可疑檔案的樣本提交給 Sophos

    我們將對其進行分類並更新我們的規則。如果是惡意的樣本,Sophos Central 以後會開啟攔截。