跳至內容

處理勒索軟體

這是我們偵測到勒索軟體時會出現的情況及處理方式。

如果您知道偵測是誤判,請參見 處理誤判

我們偵測到勒索軟體時:

  • 我們會檢查是否為正當應用程式,如檔案/資料夾加密產品。如果不是,我們會停止其執行。
  • 檔案會恢復至修改前的=狀態。
  • 通知終端使用者。
  • 已生成一項威脅圖表。這有助您決定是否採取額外行動。
  • 掃描會檢查記憶體中的所有進程是否存在可疑行為。
  • 裝置的健康狀態恢復成綠色。

如欲瞭解更多詳情,請參閱 警示

如果您看到“檢測到勒索軟件”該怎麼辦

如果您仍然需要清理,請依下列方式進行:

  • 如果未啟用自動樣本提交,發送一份 Ransomware 的樣本給我們。我們會將其分類並更新我們的規則:如果是惡意的樣本,Sophos Central 以後會開啟攔截。請參閱如何將可疑檔案的樣本提交給 Sophos
  • 將電腦暫時移動到不會影響到其他電腦的網路。前往電腦並執行 Sophos Clean(如果未安裝,請從我們的網站下載)。

    您可在 Sophos Central 的伺服器上運行 Sophos Clean。

  • 前往 Sophos Central,前往 警示,並將警示標記為已解決。

如果您看到“檢測到遠程運行的勒索軟件”該怎麼辦

我們偵測到勒索軟體在遠端電腦中執行,並且企圖加密網路共用中的檔案。

我們已經攔截了從遠端電腦的 IP 位址對網路共用的寫入存取。如果具有該位址的電腦為受 Sophos Central 管理工作站,並且啟用了 保護來自 Ransomware 的文件檔案 (CryptoGuard),我們將自動清理勒索軟體。

您需要進行以下操作:

  • 尋找勒索軟體所執行的電腦。
  • 如果該電腦由 Sophos Central 管理,請確保策略中啟用了 保護來自 Ransomware 的文件檔案 (CryptoGuard)
  • 如果清理不自動進行:將電腦移動到不會影響到其他電腦的網路。然後,前往電腦並執行 Sophos Clean(如果未安裝,請從我們的網站下載)。
  • 前往 Sophos Central,前往 警示,並將警示標記為已解決。

如果您看到“勒索軟件攻擊檢測到的遠程電腦”該怎麼辦

我們已偵測到此電腦嘗試加密其他電腦上的檔案。

我們已攔截了此電腦對網路共用的寫入存取。如果電腦為工作站,且 保護來自 Ransomware 的文件檔案 (CryptoGuard) 已啟用,我們將自動清理勒索軟體。

您需要進行以下操作:

  • 確保 保護來自 Ransomware 的文件檔案 (CryptoGuard) 已在 Sophos Central 策略中啟用。這提供更多資訊。
  • 如果清理不自動進行:將電腦移動到不會影響到其他電腦的網路。然後,前往電腦並執行 Sophos Clean(如果未安裝,請從我們的網站下載)。
  • 前往 Sophos Central,前往 警示,並將警示標記為已解決。