處理勒索軟體
這是我們偵測到勒索軟體時會出現的情況及處理方式。
如果您知道偵測是誤判,請參見 處理誤判。
我們偵測到勒索軟體時:
- 我們會檢查是否為正當應用程式,如檔案/資料夾加密產品。如果不是,我們會停止其執行。
- 檔案會恢復至修改前的=狀態。
- 通知終端使用者。
- 已生成一項威脅圖表。這有助您決定是否採取額外行動。
- 掃描會檢查記憶體中的所有進程是否存在可疑行為。
- 裝置的健康狀態恢復成綠色。
如欲瞭解更多詳情,請參閱 警示。
如果您看到“檢測到勒索軟件”該怎麼辦
如果您仍然需要清理,請依下列方式進行:
- 如果未啟用自動樣本提交,發送一份 Ransomware 的樣本給我們。我們會將其分類並更新我們的規則:如果是惡意的樣本,Sophos Central 以後會開啟攔截。請參閱如何將可疑檔案的樣本提交給 Sophos。
-
將電腦暫時移動到不會影響到其他電腦的網路。前往電腦並執行 Sophos Clean(如果未安裝,請從我們的網站下載)。
您可在 Sophos Central 的伺服器上運行 Sophos Clean。
-
前往 Sophos Central,前往 警示,並將警示標記為已解決。
如果您看到“檢測到遠程運行的勒索軟件”該怎麼辦
我們偵測到勒索軟體在遠端電腦中執行,並且企圖加密網路共用中的檔案。
我們已經攔截了從遠端電腦的 IP 位址對網路共用的寫入存取。如果具有該位址的電腦為受 Sophos Central 管理工作站,並且啟用了 保護來自 Ransomware 的文件檔案 (CryptoGuard),我們將自動清理勒索軟體。
您需要進行以下操作:
- 尋找勒索軟體所執行的電腦。
- 如果該電腦由 Sophos Central 管理,請確保策略中啟用了 保護來自 Ransomware 的文件檔案 (CryptoGuard)。
- 如果清理不自動進行:將電腦移動到不會影響到其他電腦的網路。然後,前往電腦並執行 Sophos Clean(如果未安裝,請從我們的網站下載)。
- 前往 Sophos Central,前往 警示,並將警示標記為已解決。
如果您看到“勒索軟件攻擊檢測到的遠程電腦”該怎麼辦
我們已偵測到此電腦嘗試加密其他電腦上的檔案。
我們已攔截了此電腦對網路共用的寫入存取。如果電腦為工作站,且 保護來自 Ransomware 的文件檔案 (CryptoGuard) 已啟用,我們將自動清理勒索軟體。
您需要進行以下操作:
- 確保 保護來自 Ransomware 的文件檔案 (CryptoGuard) 已在 Sophos Central 策略中啟用。這提供更多資訊。
- 如果清理不自動進行:將電腦移動到不會影響到其他電腦的網路。然後,前往電腦並執行 Sophos Clean(如果未安裝,請從我們的網站下載)。
- 前往 Sophos Central,前往 警示,並將警示標記為已解決。