Identifizierung
Arten von Malware-Infektionen und ihre häufigsten Symptome.
Wenn die von Ihnen beobachteten Symptome mit den hier aufgeführten übereinstimmen oder diesen ähneln, befolgen Sie die Schritte im entsprechenden Workflow.
Symptome einer Ransomware-Infektion
-
Auf einige Dateien auf Ihren Geräten kann nicht zugegriffen werden:
- Die Datei fehlt.
- Der Versuch, die Datei zu öffnen, führt zu einem Fehler.
-
Dateien haben eine benutzerdefinierte Erweiterung oder eine andere Erweiterung oder einen anderen Dateinamen als zuvor.
- Das Hintergrundbild wurde zu einer Lösegeldforderung geändert oder Ihr Gerät ist gesperrt.
- Wenn Sie eine verdächtige Datei auf ID Ransomware hochladen, erhalten Sie den Namen des Ransomware-Typs.
- Eine CryptoGuard-Erkennung, wie in CryptoGuard-Erkennungen und erforderliche Maßnahmen erklärt.
Gehen Sie zu Workflow der Ransomware-Bereinigung.
Symptome einer TrickBot- oder Emotet-Infektion
Wenn Sie von aktiven Ausbrüchen von Emotet und TrickBot betroffen sind, können Sie die folgenden Erkennungen in der Sophos Enterprise Console oder in Sophos Central sehen.
HPmal/Emotet-C
HPmal/TrikBot-G
Mal/EncPk-AN
HPmal/Crushr-AU
Troj/Inject-DTW
Troj/LnkRun-T
Sie können auch die folgenden Erkennungen sehen. Diese beschränken sich jedoch nicht auf Emotet oder TrickBot:
Mal/Generic-R
Mal/Generic-S
ML/PE-A
Code Cave
APC Violation
Safe Browsing
LoadLib
Ein weiterer Hinweis auf eine Emotet- oder TrickBot-Infektion ist das Vorhandensein weiterer unbekannter Dienste, die auf dem Gerät mit willkürlichen numerischen Namen erstellt wurden.
Das folgende Beispiel zeigt vier Emotet- oder TrickBot-Dienste (andere infizierte Geräte umfassen möglicherweise mehr) auf einem kompromittierten Gerät.
Gehen Sie zu Workflow der Bereinigung von TrickBot oder Emotet.
Symptome einer Coin-Mining-Infektion
Bei einer aktiven Coin-Mining-Infektion können Sie Folgendes sehen:
- Die CPU/RAM-Auslastung auf einem Gerät ist sehr hoch, selbst wenn das Gerät inaktiv ist.
- Ein Gerät verlangsamt sich drastisch. Oder ein Gerät verlangsamt sich unabhängig von Benutzeraktionen zeitweise.
- PowerShell führt zu CPU-Spitzen auf Geräten, wodurch sie unbrauchbar werden.
- Gesperrte Konten.
-
Die Ausführung von PowerShell wird von Sophos erkannt und mit mindestens einem der folgenden Flags beendet:
AMSI/Miner-B
AMSI/Miner-C
HPmal/WMIPOW-A
HPmal/HPWMIJS-A
HPmal/mPShl32-A
HPmal/mPShl64-A
HPmal/HPWMIJS-A
-
Ein CredGuard-Alarm in Sophos Central oder auf dem Gerät mit der folgenden Meldung:
"We prevented credential theft in Windows PowerShell”
.
Gehen Sie zu Workflow der Bereinigung von Coin-Mining.
Symptome eines böswilligen LNK-Wurms
Wenn Sie von einem aktiven LNK-Wurm betroffen sind, können Sie Folgendes sehen:
- Es gibt legitim aussehende Dateien mit einer
.LNK
-Erweiterung, die wiederholt in Ihren Dateifreigaben generiert werden. - Sophos erkennt oder bereinigt
.LNK
-Dateien. - Benutzer beschweren sich darüber, dass legitime LNK-Verknüpfungen nicht richtig funktionieren.
Gehen Sie zu Workflow der Bereinigung eines schädlichen LNK-Wurms