ランサムウェアへの対処
ここでは、ランサムウェアが検出されたときの動作と、その対処方法について説明します。
検出が誤検知であることがわかっている場合、誤検知への対処を参照してください。
ランサムウェアが検出されると、次の処理が実行されます。
- 検出された項目が、ファイル/フォルダの暗号化製品など、正規のアプリケーションであるかどうかをチェックします。正規のアプリケーションでない場合は、アプリケーションを停止します。
- 変更が加えられる前の状態にファイルを復元します。
- エンドユーザーに通知を行います。
- 脅威グラフが生成されます。このレポートは、さらなる対応が必要かどうか判断するのに役立ちます。
- スキャンは、メモリ内のすべてのプロセスに疑わしい動作がないかどうかをチェックします。
- デバイスのセキュリティ状態が緑色に戻ります。
詳細は、警告を参照してください。
「ランサムウェアを検出しました」が表示された場合の対処方法
クリーンアップを実行する必要がある場合は、次の手順を実行してください。
- サンプルの自動送信が有効になっていない場合は、ランサムウェアのサンプルファイルをソフォスに送信してください。分類先を確認後、場合によってはソフォスのルールを更新します。マルウェアの場合は、以後、Sophos Central でブロックされます。詳細は、疑わしいファイルのサンプルをソフォスに送信する方法を参照してください。
-
他のコンピュータに危険が及ぶ恐れのないネットワークに、コンピュータを一時的に移動します。対象のコンピュータに移動し、Sophos Clean を実行します (インストールされていない場合は、ソフォスの Web サイトからダウンロードします)。
サーバーに対して Sophos Clean を実行する場合は、Sophos Central から実行します。
-
Sophos Central の「警告」で、この警告を対処済みとしてマークします。
「リモートで実行されているランサムウェアが検出されました」が表示された場合の対処方法
リモートコンピュータで、ネットワーク共有内のファイルを暗号化しようとするランサムウェアを検出しました。
リモートコンピュータの IP アドレスからのネットワーク共有への書き込みアクセスをブロックしました。その IP アドレスを持つコンピュータが Sophos Central の管理下にあるクライアントマシンで、「ランサムウェアから文書ファイルを保護する (CryptoGuard)」が有効化されている場合、ランサムウェアは自動的にクリーンアップされます。
次の手順を実行する必要があります。
- ランサムウェアを実行しているコンピュータを探します
- コンピュータが Sophos Central の管理下にある場合は、ポリシーで、「ランサムウェアから文書ファイルを保護する (CryptoGuard)」が有効化されていることを確認します。
- 自動的にクリーンアップが実行されない場合は、次の手順を実行します。他のコンピュータに危険が及ぶ恐れのないネットワークに、コンピュータを移動します。そして、対象のコンピュータに移動し、Sophos Clean を実行します (インストールされていない場合は、ソフォスの Web サイトからダウンロードします)。
- Sophos Central の「警告」で、この警告を対処済みとしてマークします。
「リモートマシンを攻撃するランサムウェアが検出されました」が表示された場合の対処方法
このコンピュータが、他のコンピュータのファイルを暗号化しようとしていることを検知しました。
コンピュータによるネットワーク共有への書き込みアクセスをブロックしました。コンピュータがクライアントマシンで、「ランサムウェアから文書ファイルを保護する (CryptoGuard)」が有効化されている場合、ランサムウェアは自動的にクリーンアップされます。
次の手順を実行する必要があります。
- 「ランサムウェアから文書ファイルを保護する (CryptoGuard)」が、Sophos Central ポリシーで有効化されていることを確認してください。詳細はこちらを参照してください。
- 自動的にクリーンアップが実行されない場合は、次の手順を実行します。他のコンピュータに危険が及ぶ恐れのないネットワークに、コンピュータを移動します。そして、対象のコンピュータに移動し、Sophos Clean を実行します (インストールされていない場合は、ソフォスの Web サイトからダウンロードします)。
- Sophos Central の「警告」で、この警告を対処済みとしてマークします。