Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/mdr/help/de-de/index.html?contextId=Identification

Identifizierung

Arten von Malware-Infektionen und ihre häufigsten Symptome.

Wenn die von Ihnen beobachteten Symptome mit den hier aufgeführten übereinstimmen oder diesen ähneln, befolgen Sie die Schritte im entsprechenden Workflow.

Symptome einer Ransomware-Infektion

  • Auf einige Dateien auf Ihren Geräten kann nicht zugegriffen werden:

    • Die Datei fehlt.
    • Der Versuch, die Datei zu öffnen, führt zu einem Fehler.

  • Dateien haben eine benutzerdefinierte Erweiterung oder eine andere Erweiterung oder einen anderen Dateinamen als zuvor.

  • Das Hintergrundbild wurde zu einer Lösegeldforderung geändert oder Ihr Gerät ist gesperrt.
  • Wenn Sie eine verdächtige Datei auf ID Ransomware hochladen, erhalten Sie den Namen des Ransomware-Typs.
  • Eine CryptoGuard-Erkennung, wie in CryptoGuard-Erkennungen und erforderliche Maßnahmen erklärt.

Gehen Sie zu Workflow der Ransomware-Bereinigung.

Symptome einer TrickBot- oder Emotet-Infektion

Wenn Sie von aktiven Ausbrüchen von Emotet und TrickBot betroffen sind, können Sie die folgenden Erkennungen in der Sophos Enterprise Console oder in Sophos Central sehen.

  • HPmal/Emotet-C
  • HPmal/TrikBot-G
  • Mal/EncPk-AN
  • HPmal/Crushr-AU
  • Troj/Inject-DTW
  • Troj/LnkRun-T

Sie können auch die folgenden Erkennungen sehen. Diese beschränken sich jedoch nicht auf Emotet oder TrickBot:

  • Mal/Generic-R
  • Mal/Generic-S
  • ML/PE-A
  • Code Cave
  • APC Violation
  • Safe Browsing
  • LoadLib

Ein weiterer Hinweis auf eine Emotet- oder TrickBot-Infektion ist das Vorhandensein weiterer unbekannter Dienste, die auf dem Gerät mit willkürlichen numerischen Namen erstellt wurden.

Das folgende Beispiel zeigt vier Emotet- oder TrickBot-Dienste (andere infizierte Geräte umfassen möglicherweise mehr) auf einem kompromittierten Gerät.

Beispiel eines TrickBot- oder Emotet-Angriffs.

Gehen Sie zu Workflow der Bereinigung von TrickBot oder Emotet.

Symptome einer Coin-Mining-Infektion

Bei einer aktiven Coin-Mining-Infektion können Sie Folgendes sehen:

  • Die CPU/RAM-Auslastung auf einem Gerät ist sehr hoch, selbst wenn das Gerät inaktiv ist.
  • Ein Gerät verlangsamt sich drastisch. Oder ein Gerät verlangsamt sich unabhängig von Benutzeraktionen zeitweise.
  • PowerShell führt zu CPU-Spitzen auf Geräten, wodurch sie unbrauchbar werden.
  • Gesperrte Konten.

  • Die Ausführung von PowerShell wird von Sophos erkannt und mit mindestens einem der folgenden Flags beendet:

    • AMSI/Miner-B
    • AMSI/Miner-C
    • HPmal/WMIPOW-A
    • HPmal/HPWMIJS-A
    • HPmal/mPShl32-A
    • HPmal/mPShl64-A
    • HPmal/HPWMIJS-A

  • Ein CredGuard-Alarm in Sophos Central oder auf dem Gerät mit der folgenden Meldung: "We prevented credential theft in Windows PowerShell”.

Gehen Sie zu Workflow der Bereinigung von Coin-Mining.

Symptome eines böswilligen LNK-Wurms

Wenn Sie von einem aktiven LNK-Wurm betroffen sind, können Sie Folgendes sehen:

  • Es gibt legitim aussehende Dateien mit einer .LNK-Erweiterung, die wiederholt in Ihren Dateifreigaben generiert werden.
  • Sophos erkennt oder bereinigt .LNK-Dateien.
  • Benutzer beschweren sich darüber, dass legitime LNK-Verknüpfungen nicht richtig funktionieren.

Gehen Sie zu Workflow der Bereinigung eines schädlichen LNK-Wurms