Identificazione
Tipi di infezione da malware e sintomi comuni.
Se i sintomi osservati corrispondono o sono simili a quelli elencati, seguire i passaggi descritti nel rispettivo flusso di lavoro.
Sintomi di un’infezione da ransomware
-
Impossibilità di accedere ad alcuni file sui dispositivi:
- Il file non esiste più.
- I tentativi di aprire il file restituiscono un errore.
-
I file hanno un’estensione personalizzata o un’estensione o nome file diverso da prima.
- Lo sfondo è stato modificato ed è ora una nota di riscatto, oppure il dispositivo è bloccato.
- Caricando un file sospetto su ID ransomware, si ottiene il nome di un ransomware.
- CryptoGuard segnala un rilevamento, come descritto in Rilevamenti di CryptoGuard e azioni richieste.
Vedere Flusso di lavoro per la correzione del ransomware.
Sintomi di un’infezione da TrickBot o Emotet
Se sono presenti focolai attivi di Emotet o TrickBot, Sophos Enterprise Console o Sophos Central potrebbero segnalare i rilevamenti indicati di seguito.
HPmal/Emotet-C
HPmal/TrikBot-G
Mal/EncPk-AN
HPmal/Crushr-AU
Troj/Inject-DTW
Troj/LnkRun-T
Altri rilevamenti che potrebbero essere visualizzati, anche se non sono strettamente correlati a Emotet o TrickBot, sono i seguenti:
Mal/Generic-R
Mal/Generic-S
ML/PE-A
Code Cave
APC Violation
Safe Browsing
LoadLib
Un’altra indicazione di infezione da Emotet o TrickBot è la presenza di nuovi servizi sconosciuti, che sono stati creati sul dispositivo e che hanno nomi numerici casuali.
L’esempio riportato di seguito mostra quattro servizi Emotet o TrickBot (altri dispositivi infettati potrebbero contenerne di più) su un dispositivo compromesso.
Vedere Flusso di lavoro per la correzione di TrickBot o Emotet.
Sintomi di un’infezione da miner di criptovalute
Se è in corso un’infezione attiva da miner di criptovalute, potrebbe verificarsi quanto segue:
- Uso eccessivo di CPU/RAM, anche quando il dispositivo è inattivo.
- Drastico rallentamento del dispositivo. Rallentamento intermittente del dispositivo, indipendentemente dalle azioni dell’utente.
- Picchi di uso della CPU da parte di PowerShell sui dispositivi, che diventano così inutilizzabili.
- Account bloccati.
-
Esecuzione di PowerShell rilevata e terminata da Sophos, con almeno uno dei seguenti flag:
AMSI/Miner-B
AMSI/Miner-C
HPmal/WMIPOW-A
HPmal/HPWMIJS-A
HPmal/mPShl32-A
HPmal/mPShl64-A
HPmal/HPWMIJS-A
-
Un avviso di CredGuard, in Sophos Central o sul dispositivo, con il seguente messaggio:
"We prevented credential theft in Windows PowerShell”
.
Vedere Flusso di lavoro per la correzione dei miner di criptovalute.
Sintomi di un worm LNK dannoso
In presenza di un worm LNK dannoso attivo, si potrebbe osservare quanto segue:
- Generazione ripetuta di file dall’aspetto legittimo con estensione
.LNK
nelle condivisioni file. - Sophos rileva o rimuove file
.LNK
. - Gli utenti segnalano che i collegamenti LNK legittimi non funzionano correttamente.
Vedere Flusso di lavoro per la correzione di un worm LNK dannoso.