Identificación
Tipos de infección de malware y sus síntomas más comunes.
Si sus síntomas coinciden o son similares a los de la lista, siga los pasos del flujo de trabajo de remediación correspondiente.
Síntomas de una infección por ransomware
-
No puede acceder a algunos archivos de sus dispositivos:
- Falta el archivo.
- Al intentar abrir el archivo se produce un error.
-
Los archivos tienen una extensión personalizada o una extensión o nombre de archivo diferente al anterior.
- El fondo de pantalla ha cambiado a una nota de rescate o el dispositivo está bloqueado.
- Cuando sube un archivo sospechoso a ID Ransomware, este le da un nombre de tipo ransomware.
- Una detección de CryptoGuard, como se explica en Detecciones de CryptoGuard y acciones requeridas.
Vaya a Flujo de trabajo de remediación por infección de ransomware.
Síntomas de una infección por TrickBot o Emotet
Si tiene brotes activos de Emotet y TrickBot, puede ver las siguientes detecciones en Sophos Enterprise Console o Sophos Central.
HPmal/Emotet-C
HPmal/TrikBot-G
Mal/EncPk-AN
HPmal/Crushr-AU
Troj/Inject-DTW
Troj/LnkRun-T
También puede ver las detecciones siguientes, aunque no son exclusivas de Emotet o TrickBot:
Mal/Generic-R
Mal/Generic-S
ML/PE-A
Code Cave
APC Violation
Safe Browsing
LoadLib
Otra indicación de una infección por Emotet o TrickBot es la presencia de servicios desconocidos adicionales creados en el dispositivo con nombres numéricos aleatorios.
El ejemplo siguiente muestra cuatro servicios Emotet o TrickBot (otros dispositivos infectados pueden tener más) en un dispositivo afectado.
Vaya a Flujo de trabajo de remediación por infección de TrickBot o Emotet.
Síntomas de una infección por un criptominero
Si tiene una infección activa por un criptominero, es posible que vea lo siguiente:
- Un dispositivo tiene un uso excesivo de CPU/RAM, incluso cuando el dispositivo está inactivo.
- Un dispositivo se ralentiza drásticamente. O un dispositivo se ralentiza de forma intermitente sin ninguna relación con las acciones del usuario.
- Se producen picos de PowerShell en el procesador de los dispositivos, lo que los hace inservibles.
- Cuentas bloqueadas.
-
La ejecución de PowerShell es detectada y terminada por Sophos con al menos uno de los siguientes indicadores:
AMSI/Miner-B
AMSI/Miner-C
HPmal/WMIPOW-A
HPmal/HPWMIJS-A
HPmal/mPShl32-A
HPmal/mPShl64-A
HPmal/HPWMIJS-A
-
Una alerta de CredGuard, en Sophos Central o en el dispositivo, con el mensaje siguiente:
"We prevented credential theft in Windows PowerShell”
.
Vaya a Flujo de trabajo de remediación por infección de un criptominero.
Síntomas de una infección por un gusano LNK malicioso
Si tiene un gusano LNK malicioso activo, quizá vea lo siguiente:
- Hay archivos de aspecto legítimo con una extensión
.LNK
generada repetidamente en sus recursos compartidos de archivos. - Sophos está detectando o limpiando archivos
.LNK
. - Los usuarios se quejan de que los accesos directos legítimos de LNK no funcionan correctamente.
Vaya a Flujo de trabajo de remediación por infección de un gusano LNK malicioso.