TrickBot 或 Emotet 補救

請依照下列步驟補救 TrickBot 或 Emotet 感染。

簡介

TrickBot 和 Emotet 惡意軟體套件是目前最普遍、最有效的惡意軟體套件之一。它利用多種技術和感染媒介在環境中傳播，並持續存在於受入侵裝置上。

為有效保護，我們建議使用 Sophos EDR 或 Sophos XDR。

如果您遇到作用中 TrickBot 或 Emotet 事件，建議您與我們聯絡並購買我們的 Managed Detection and Response 服務。這是一支訓練有素的團隊，能協助您進行補救並提供根本原因分析。

檢查您的裝置

確保您的裝置處於最新狀態且受到保護。要檢查您的裝置，請執行以下動作：

確保網路中的每部裝置都有一個正常運作的最新版本 Sophos Endpoint Protection。

我們不建議嘗試使用 Sophos Anti-Virus（內部部署）補救 TrickBot 或 Emotet 感染。Sophos Anti-Virus 具備的功能和工具無法有效地防範 Trickbot 或 Emotet 並協助進行補救
對於任何使用舊版作業系統，導致無法安裝 Sophos Endpoint 或取得合適 Windows 更新的裝置，請更新或將其移除。
1. 確保您的裝置具有所有合適的 Windows 安全修補程式。未受保護或未修補的單個系統可能會感染其他受保護和已修補的裝置。
在補救過程中，對於執行任何非 Windows 2008 R2、Windows 2003 XP 或更早版本的 Windows 2008 版本的所有裝置，請將其關閉。將這些裝置從您的網路中移除，因為它們可能會引發新的爆發。

此作業系統清單將隨着 Windows 版本變得不受支援而變更。有關我們目前系統要求的詳細資訊，請參閱 Sophos Central Windows 端點系統要求或 Sophos Central Windows 伺服器系統要求。

定義問題的範圍

不要假設網路中的每部裝置都受到保護，也不要假設您了解網路中的每部裝置。有許多方法可以識別網路上的裝置，您可能已經有了這樣做的方法。最適合您的選項取決於您的網路大小和分割。

其中最常見的方法之一是進行網路掃描並偵測當時網路上的內容。

您可以使用協力廠商工具執行此操作，例如 Advanced IP Scanner。

要掃描網路，請從以下選項中進行選擇：

使用 Advanced IP Scanner。請參見 Advanced IP Scanner。

這是一種免費且簡單的工具。

它會產生網路上的作用中裝置清單，您可以對照 Sophos 管理軟體中列出的裝置進行交叉檢查。

檢查您的保護

Sophos 已針對威脅保護提供建議設定。這些設定使用多層保護。這些設定可針對感染提供保護，並協助清除感染。要檢查您的保護，請執行以下動作：

檢查您是否在威脅保護原則中使用我們建議的設定。

有關這些設定的更多資訊，請造訪下列連結：
- 威脅防護原則
- 伺服器威脅防護策略
如果您未使用我們建議的設定，請在威脅保護原則中開啟這些設定。

修補您的裝置

確保所有裝置都有最新的 Windows 安全修補程式。您必須確保包含 EternalBlue 入侵程式的修補程式。TrickBot 或 Emotet 利用該入侵程式作為其傳播方法之一。

EternalBlue 是一種利用 Microsoft SMB 中弱點的入侵程式，WannaCry 勒索軟體尤其使用該入侵程式進行傳播。修補裝置並移除此感染媒介，讓 Trickbot 或 Emotet 更難以攻擊，並保護您免受其他使用 EternalBlue 之惡意軟體的侵害。

Microsoft 在 Microsoft 更新中發佈了針對 EternalBlue 的修補程式：MS17-010.Microsoft 官方文章解釋了如何驗證裝置是否具有此修補程式。請參閱如何驗證是否已安裝 MS17-010。

Sophos 具有一個簡單的 PowerShell 指令碼，可以在各個電腦上執行，以確認這些電腦是否具有修補程式。有關此問題的詳細資訊，請參閱如何驗證電腦是否容易受到 EternalBlue 的攻擊 - MS17-010。

要修補您的裝置，請執行以下動作：

檢查您的裝置是否容易受到 EternalBlue 的攻擊。
使用最新的 Windows 安全性修補程式更新您的裝置。

掃描並清理裝置

掃描裝置，了解有多少裝置感染了 TrickBot 或 Emotet。然後，您需要清理裝置以防止再次感染。

若要執行此動作，請依照以下步驟操作。

確保所有裝置都已進行了修補並安裝了 Sophos Endpoint。
在所有裝置上執行完整掃描。若要掃描裝置，請執行以下操作：
1. 登入 Sophos Central。
2. 前往 我的產品 > Endpoint > 原則或 我的產品 > Server > 原則。
3. 在威脅保護中，按一下指派給要檢查之使用者、電腦或伺服器的原則。
4. 按一下設定並向下捲動至排程的掃描。
5. 開啟啟用排程的掃描。
6. 設定執行掃描的時間。
  
  掃描需要開啟並啟用裝置。
7. 請確保已關閉啟用深度掃描 - 掃描壓縮檔案 (.zip、.cab 等) 內部功能。
  
  您需要執行完整掃描以對所有檔案進行索引。這些附加設定會降低索引速度，或者可能會阻止在某些裝置上完成掃描。
完成完整掃描後，您需要透過 Sophos Central Admin 清除感染。若要執行此動作，請依照以下步驟操作。
1. 登入 Sophos Central。
2. 前往 威脅分析中心 > AI 搜尋。
3. 搜尋常見的惡意軟體置放位置。
  - C:\
  - C:\Windows
  - C:\Windows\System32
  - C:\Windows\Syswow64
  - C:\ProgramData
  - C:\Users\*<Username\>*\AppData\Roaming\*<random name\>*。
4. 移至某個惡意軟體置放位置，然後按一下網路連線。
  
  這會將清單限制為僅包含執行網路連線的可執行檔。TrickBot 或 Emotet 試圖傳播並需要執行網路連線。
5. 查找您認為突出或不確定的可執行檔。
6. 對於其中每個檔案，按一下威脅案例中的產生新的威脅案例和請求最新情報以取得更多資訊。
7. 檢查資料，如有必要，按一下清除並封鎖。
如果需要有關檔案的更多資訊，請提交樣本，參見如何向 Sophos 提交可疑檔案的樣本。
檢查威脅案例和警示，了解新偵測和最近偵測。查找 TrickBot 或 Emotet 偵測的跡象。
- CXmal/Emotet-C
- HPmal/Emotet-D
- HPmal/TrikBot-G
- Mal/EncPk-AN
- HPmal/Crushr-AU
- Troj/Inject-DTW
- Troj/LnkRun-T
- AMSI/Exec-P
- Troj/Emotet-CJW
檢查下列偵測：
- Mal/Generic-R
- Mal/Generic-S
- ML/PE-A
- Code Cave
- APC Violation
- Safe Browsing
- LoadLib
對威脅搜尋中的每個檔案重複此過程。
清除任何受感染的檔案。
重新啟動所有裝置以清除記憶體中的任何感染。
重複這些步驟，直到沒有 TrickBot 或 Emotet 的跡象。

最終補救

如果仍有偵測，則表明網路中的某個裝置受到了感染。

TrickBot 或 Emotet 感染持續以檔案和無檔案形式存在。要對它們進行補救，您需要降低它們以兩種形式進行復制的能力。有關此惡意軟體運作方式的詳細資訊，請參閱解決 Emotet 和 TrickBot 惡意軟體的爆發。

若要尋找剩餘的受感染裝置，請執行下列動作：

重複此工作流程中的步驟。
如果找不到偵測源，請按一下威脅分析中心 > AI 搜尋，然後檢查所有找到 TrickBot 或 Emotet 的位置。
- C:\Windows\<A Randomly Named EXE>
- C:\windows\system32\<A Randomly Named EXE>
- C:\Windows\Syswow64\<A Randomly Named EXE>
- C:\stsvc.exe
- C:\Users\<username>\AppData\Roaming\*<A Randomly Named EXE\>*
- C:\Users\<username>\AppData\Roaming\<Six-Letter-Folder>
- C:\ProgramData\<Randomly Named EXEs>
找到避開偵測的可執行檔時，請提交樣本。
如果找不到可執行檔，請聯絡 Sophos MDR Rapid Response。

TrickBot 或 Emotet 補救影片

本影片涵蓋此工作流程。