ID
맬웨어 감염의 유형 및 일반적인 증상.
증상이 나열된 것과 일치하거나 유사한 경우 해당 워크플로의 단계를 따릅니다.
랜섬웨어 감염의 증상
-
장치의 일부 파일에 액세스할 수 없습니다.
- 파일이 없습니다.
- 파일을 열려고 하면 오류가 발생합니다.
-
파일에 사용자 지정 확장명이 있거나 이전과 다른 확장명 또는 파일 이름이 있습니다.
- 배경 화면이 랜섬 노트로 변경되었거나 장치가 잠겨 있습니다.
- ID Ransomware에 의심스러운 파일을 업로드하면 랜섬웨어 유형 이름이 제공됩니다.
- CryptoGuard 감지 및 필요한 조치에 설명된 CryptoGuard 감지
랜섬웨어 수정 워크플로로 이동합니다.
TrickBot 또는 Emotet 감염의 증상
Emotet 및 TrickBot이 활발하게 발생한 경우 Sophos Enterprise Console 또는 Sophos Central에 다음과 같은 감지가 나타날 수 있습니다.
HPmal/Emotet-C
HPmal/TrikBot-G
Mal/EncPk-AN
HPmal/Crushr-AU
Troj/Inject-DTW
Troj/LnkRun-T
Emotet 또는 TrickBot에만 해당하는 것은 아니지만 다음과 같은 감지도 나타날 수 있습니다.
Mal/Generic-R
Mal/Generic-S
ML/PE-A
Code Cave
APC Violation
Safe Browsing
LoadLib
Emotet 또는 TrickBot 감염의 또 다른 징후는 임의의 숫자 이름으로 장치에 생성된 알 수 없는 추가 서비스가 있다는 것입니다.
아래의 예는 손상된 장치에 있는 4개의 Emotet 또는 TrickBot 서비스(다른 감염된 장치에 더 많을 수 있음)를 보여줍니다.
TrickBot 또는 Etmotet 수정 워크플로로 이동합니다.
코인 마이너 감염의 증상
활성 코인 마이너 감염이 있는 경우 다음과 같은 증상이 나타날 수 있습니다.
- 장치가 유휴 상태일 때도 장치의 CPU/RAM 사용량이 지나치게 많습니다.
- 장치가 급격히 느려집니다. 또는, 사용자 작업과 연결되지 않은 장치의 속도가 간헐적으로 느려집니다.
- PowerShell이 장치의 CPU를 급증시켜 장치를 사용 불능 상태로 만듭니다.
- 계정이 잠깁니다.
-
Sophos에서 다음 플래그 중 하나 이상을 사용해 PowerShell 실행을 감지하고 종료합니다.
AMSI/Miner-B
AMSI/Miner-C
HPmal/WMIPOW-A
HPmal/HPWMIJS-A
HPmal/mPShl32-A
HPmal/mPShl64-A
HPmal/HPWMIJS-A
-
Sophos Central 또는 장치에서 다음 메시지와 함께 CredGuard 경고 발령:
"We prevented credential theft in Windows PowerShell”
.
코인 마이너 수정 워크플로로 이동합니다.
악성 LNK 웜의 증상
활성 악성 LNK 웜이 있는 경우 다음과 같은 증상이 나타날 수 있습니다.
- 파일 공유에 정상적으로 보이지만 확장명
.LNK
가 반복적으로 생성된 파일이 있습니다. - Sophos가
.LNK
파일을 감지 또는 정리하고 있습니다. - 사용자가 정상적인 LNK 바로 가기가 제대로 작동하지 않는다고 불만을 제기합니다.
악성 LNK 웜 수정 워크플로로 이동합니다.