주요 콘텐츠로 건너뛰기

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/mdr/help/ko-kr/index.html?contextId=Identification

ID

맬웨어 감염의 유형 및 일반적인 증상.

증상이 나열된 것과 일치하거나 유사한 경우 해당 워크플로의 단계를 따릅니다.

랜섬웨어 감염의 증상

  • 장치의 일부 파일에 액세스할 수 없습니다.

    • 파일이 없습니다.
    • 파일을 열려고 하면 오류가 발생합니다.

  • 파일에 사용자 지정 확장명이 있거나 이전과 다른 확장명 또는 파일 이름이 있습니다.

  • 배경 화면이 랜섬 노트로 변경되었거나 장치가 잠겨 있습니다.
  • ID Ransomware에 의심스러운 파일을 업로드하면 랜섬웨어 유형 이름이 제공됩니다.
  • CryptoGuard 감지 및 필요한 조치에 설명된 CryptoGuard 감지

랜섬웨어 수정 워크플로로 이동합니다.

TrickBot 또는 Emotet 감염의 증상

Emotet 및 TrickBot이 활발하게 발생한 경우 Sophos Enterprise Console 또는 Sophos Central에 다음과 같은 감지가 나타날 수 있습니다.

  • HPmal/Emotet-C
  • HPmal/TrikBot-G
  • Mal/EncPk-AN
  • HPmal/Crushr-AU
  • Troj/Inject-DTW
  • Troj/LnkRun-T

Emotet 또는 TrickBot에만 해당하는 것은 아니지만 다음과 같은 감지도 나타날 수 있습니다.

  • Mal/Generic-R
  • Mal/Generic-S
  • ML/PE-A
  • Code Cave
  • APC Violation
  • Safe Browsing
  • LoadLib

Emotet 또는 TrickBot 감염의 또 다른 징후는 임의의 숫자 이름으로 장치에 생성된 알 수 없는 추가 서비스가 있다는 것입니다.

아래의 예는 손상된 장치에 있는 4개의 Emotet 또는 TrickBot 서비스(다른 감염된 장치에 더 많을 수 있음)를 보여줍니다.

TrickBot 또는 Emotet 공격의 예.

TrickBot 또는 Etmotet 수정 워크플로로 이동합니다.

코인 마이너 감염의 증상

활성 코인 마이너 감염이 있는 경우 다음과 같은 증상이 나타날 수 있습니다.

  • 장치가 유휴 상태일 때도 장치의 CPU/RAM 사용량이 지나치게 많습니다.
  • 장치가 급격히 느려집니다. 또는, 사용자 작업과 연결되지 않은 장치의 속도가 간헐적으로 느려집니다.
  • PowerShell이 장치의 CPU를 급증시켜 장치를 사용 불능 상태로 만듭니다.
  • 계정이 잠깁니다.

  • Sophos에서 다음 플래그 중 하나 이상을 사용해 PowerShell 실행을 감지하고 종료합니다.

    • AMSI/Miner-B
    • AMSI/Miner-C
    • HPmal/WMIPOW-A
    • HPmal/HPWMIJS-A
    • HPmal/mPShl32-A
    • HPmal/mPShl64-A
    • HPmal/HPWMIJS-A

  • Sophos Central 또는 장치에서 다음 메시지와 함께 CredGuard 경고 발령: "We prevented credential theft in Windows PowerShell”.

코인 마이너 수정 워크플로로 이동합니다.

악성 LNK 웜의 증상

활성 악성 LNK 웜이 있는 경우 다음과 같은 증상이 나타날 수 있습니다.

  • 파일 공유에 정상적으로 보이지만 확장명 .LNK가 반복적으로 생성된 파일이 있습니다.
  • Sophos가 .LNK 파일을 감지 또는 정리하고 있습니다.
  • 사용자가 정상적인 LNK 바로 가기가 제대로 작동하지 않는다고 불만을 제기합니다.

악성 LNK 웜 수정 워크플로로 이동합니다.