Identification
Types d’infection par malware et symptômes les plus communs.
Si vos symptômes correspondent ou sont similaires à ceux répertoriés, suivez les étapes du flux de travail correspondant.
Symptômes d’une infection par ransomware
-
Vous ne pouvez pas accéder à certains fichiers sur vos appareils :
- Le fichier est manquant.
- Une tentative d’ouverture du fichier entraîne une erreur.
-
Les fichiers ont une extension personnalisée ou une extension ou un nom de fichier différent.
- Le fond d’écran est devenu une demande de rançon ou votre appareil est verrouillé.
- Vous chargez un fichier suspect dans l’ID Ransomware et il vous donne le nom d’un type de ransomware.
- Une détection CryptoGuard, comme expliqué dans Détections CryptoGuard et actions requises.
Rendez-vous sur Flux de travail de résolution des problèmes de ransomware.
Symptômes d’une infection par TrickBot ou Emotet
Si vous avez des épidémies actives par Emotet et TrickBot, vous allez voir les détections suivantes dans Sophos Enterprise Console ou Sophos Central.
HPmal/Emotet-C
HPmal/TrikBot-G
Mal/EncPk-AN
HPmal/Crushr-AU
Troj/Inject-DTW
Troj/LnkRun-T
Vous allez également voir les détections suivantes, bien que celles-ci ne soient pas exclusives à Emotet ou TrickBot :
Mal/Generic-R
Mal/Generic-S
ML/PE-A
Code Cave
APC Violation
Safe Browsing
LoadLib
Une autre indication d’une infection par Emotet ou TrickBot est la présence de services inconnus supplémentaires créés sur l’appareil avec des noms numériques aléatoires.
L’exemple ci-dessous montre quatre services Emotet ou TrickBot (d’autres appareils infectés peuvent en avoir plus) sur un appareil compromis.
Rendez-vous sur Flux de travail de résolution des problèmes avec TrickBot ou Emotet.
Symptômes d’une infection par un mineur de cryptomonnaies
Si vous avez une infection active par un mineur de cryptomonnaies, vous allez voir ce qui suit :
- Un appareil utilise trop de CPU/RAM, même lorsque l’appareil est inactif.
- Un appareil ralentit considérablement. Ou un appareil ralentit par intermittence sans lien avec les actions de l’utilisateur.
- Pics de PowerShell sur le processeur des appareils, les rendant inutilisables.
- Comptes verrouillés.
-
L’exécution de PowerShell est détectée et terminée par Sophos avec au moins l’un des indicateurs suivants :
AMSI/Miner-B
AMSI/Miner-C
HPmal/WMIPOW-A
HPmal/HPWMIJS-A
HPmal/mPShl32-A
HPmal/mPShl64-A
HPmal/HPWMIJS-A
-
Une alerte CredGuard, dans Sophos Central ou sur l’appareil, avec le message suivant :
"We prevented credential theft in Windows PowerShell”
.
Rendez-vous sur Flux de travail de résolution des problèmes avec les mineurs de cryptomonnaies.
Symptômes d’un ver LNK malveillant
Si vous avez un ver LNK malveillant actif, vous allez voir ce qui suit :
- Vous avez des fichiers d’apparence légitime avec une extension
.LNK
générée de façon répétée sur vos partages de fichiers. - Sophos détecte ou nettoie les fichiers
.LNK
. - Les utilisateurs se plaignent que les raccourcis LNK légitimes ne fonctionnent pas correctement.
Rendez-vous sur Flux de travail de résolution des problèmes avec le ver LNK