Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/mdr/help/it-it/index.html?contextId=Identification

Identificazione

Tipi di infezione da malware e sintomi comuni.

Se i sintomi osservati corrispondono o sono simili a quelli elencati, seguire i passaggi descritti nel rispettivo flusso di lavoro.

Sintomi di un’infezione da ransomware

  • Impossibilità di accedere ad alcuni file sui dispositivi:

    • Il file non esiste più.
    • I tentativi di aprire il file restituiscono un errore.

  • I file hanno un’estensione personalizzata o un’estensione o nome file diverso da prima.

  • Lo sfondo è stato modificato ed è ora una nota di riscatto, oppure il dispositivo è bloccato.
  • Caricando un file sospetto su ID ransomware, si ottiene il nome di un ransomware.
  • CryptoGuard segnala un rilevamento, come descritto in Rilevamenti di CryptoGuard e azioni richieste.

Vedere Flusso di lavoro per la correzione del ransomware.

Sintomi di un’infezione da TrickBot o Emotet

Se sono presenti focolai attivi di Emotet o TrickBot, Sophos Enterprise Console o Sophos Central potrebbero segnalare i rilevamenti indicati di seguito.

  • HPmal/Emotet-C
  • HPmal/TrikBot-G
  • Mal/EncPk-AN
  • HPmal/Crushr-AU
  • Troj/Inject-DTW
  • Troj/LnkRun-T

Altri rilevamenti che potrebbero essere visualizzati, anche se non sono strettamente correlati a Emotet o TrickBot, sono i seguenti:

  • Mal/Generic-R
  • Mal/Generic-S
  • ML/PE-A
  • Code Cave
  • APC Violation
  • Safe Browsing
  • LoadLib

Un’altra indicazione di infezione da Emotet o TrickBot è la presenza di nuovi servizi sconosciuti, che sono stati creati sul dispositivo e che hanno nomi numerici casuali.

L’esempio riportato di seguito mostra quattro servizi Emotet o TrickBot (altri dispositivi infettati potrebbero contenerne di più) su un dispositivo compromesso.

Esempio di attacco di TrickBot o Emotet.

Vedere Flusso di lavoro per la correzione di TrickBot o Emotet.

Sintomi di un’infezione da miner di criptovalute

Se è in corso un’infezione attiva da miner di criptovalute, potrebbe verificarsi quanto segue:

  • Uso eccessivo di CPU/RAM, anche quando il dispositivo è inattivo.
  • Drastico rallentamento del dispositivo. Rallentamento intermittente del dispositivo, indipendentemente dalle azioni dell’utente.
  • Picchi di uso della CPU da parte di PowerShell sui dispositivi, che diventano così inutilizzabili.
  • Account bloccati.

  • Esecuzione di PowerShell rilevata e terminata da Sophos, con almeno uno dei seguenti flag:

    • AMSI/Miner-B
    • AMSI/Miner-C
    • HPmal/WMIPOW-A
    • HPmal/HPWMIJS-A
    • HPmal/mPShl32-A
    • HPmal/mPShl64-A
    • HPmal/HPWMIJS-A

  • Un avviso di CredGuard, in Sophos Central o sul dispositivo, con il seguente messaggio: "We prevented credential theft in Windows PowerShell”.

Vedere Flusso di lavoro per la correzione dei miner di criptovalute.

Sintomi di un worm LNK dannoso

In presenza di un worm LNK dannoso attivo, si potrebbe osservare quanto segue:

  • Generazione ripetuta di file dall’aspetto legittimo con estensione .LNK nelle condivisioni file.
  • Sophos rileva o rimuove file .LNK.
  • Gli utenti segnalano che i collegamenti LNK legittimi non funzionano correttamente.

Vedere Flusso di lavoro per la correzione di un worm LNK dannoso.