識別情報
マルウェア感染の種類とその一般的な症状です。
症状がリストにある症状と一致する場合、または類似している場合は、対応するワークフローの手順に従います。
ランサムウェア感染の症状
-
デバイス上の一部のファイルにアクセスできない:
- ファイルが見つからない。
- ファイルを開こうとすると、エラーが発生する。
-
ファイルには、以前とは異なるカスタム拡張子またはファイル名が付いている。
- 壁紙が身代金メモに変更される、またはデバイスがロックされている。
- 疑わしいファイルを ID Ransomware にアップロードすると、ランサムウェアの種類の名前が表示されます。
- CryptoGuard 検出については、CryptoGuard による検出と必要な処理アクションで説明されています。
ランサムウェアの修復ワークフローを参照してください。
TrickBot または Emotet 感染の症状
Emotet と TrickBot の大規模な感染が発生した場合、Sophos Enterprise Console または Sophos Central で次のような検出が表示されることがあります。
HPmal/Emotet-C
HPmal/TrikBot-G
Mal/EncPk-AN
HPmal/Crushr-AU
Troj/Inject-DTW
Troj/LnkRun-T
以下の検出が表示される場合もありますが、これらは Emotet または TrickBot に限定されません。
Mal/Generic-R
Mal/Generic-S
ML/PE-A
Code Cave
APC Violation
Safe Browsing
LoadLib
Emotet または TrickBot 感染を示す別の証拠としては、デバイス上にランダムな数字で作成された未知のサービスが追加されていることがあります。
次の例は、侵害されたデバイス上の 4つの Emotet または TrickBot サービス (他の感染デバイスにはさらに多くのものがある場合があります) を示しています。
TrickBot または Emotet の修復ワークフローを参照してください。
コインマイナー感染の症状
アクティブなコインマイナー感染がある場合は、次のような症状になる可能性があります。
- デバイスがアイドル状態であっても、デバイスの CPU/RAM 使用量が過剰になる。
- デバイスの速度が大幅に低下する。または、デバイスの速度が断続的に低下し、ユーザーの操作にリンクされなくなる。
- PowerShell がデバイス上の CPU 使用率を急増させ、使用できなくなる。
- アカウントがロックされる。
-
PowerShell の実行は、次のフラグのうち少なくとも 1つによってソフォス 製品によって検出され、終了されます。
AMSI/Miner-B
AMSI/Miner-C
HPmal/WMIPOW-A
HPmal/HPWMIJS-A
HPmal/mPShl32-A
HPmal/mPShl64-A
HPmal/HPWMIJS-A
-
Sophos Central またはデバイス上の CredGuard 警告で、次のメッセージが表示される。
"We prevented credential theft in Windows PowerShell”
。
コインマイナーの修復ワークフローを参照してください。
悪意のある LNK ワームの症状
アクティブな悪意のある LNK ワームがある場合は、次のように表示されます。
- 拡張子
.LNK
を持つ正規のファイルのように見えるファイルがファイル共有に繰り返し生成される。 - ソフォス が
.LNK
ファイルを検出またはクリーンアップしている。 - ユーザーから正規の LNK ショートカットが正しく動作していないという苦情が寄せらる。
悪意のある LNK ワームの修復ワークフローを参照してください。