Sophos erkennt Ransomware nach 4 Tagen noch nicht trotz zweifachscan

Question

Hallo zusammen, 
 meine aktuellen Erfahrungen mit der Sophos SG. Gestern massive Welle an Office Anh&auml;ngen mit Verschl&uuml;sselungstrojaner. 
 Unser anderer Scanner auf dem Gateway erkannte den Trojaner bereits am 15.12. Sophos u. Avira Engine auf der SG210 erkannten ihn noch nicht mal 4 Tage sp&auml;ter am 19.12! 
 Bezeichnung HEUR:Trojan-Downloader.Script.Generic 
 ein absolut BESCHEIDENES Ergebnis!

Steve Weißflog · Answer

F&uuml;r solche Art Schadsoftware ist eigentlich Sophos Sandstorm implementiert worden. Vermutlich habt ihr das nicht aktiv? Am besten mal beim Sophos Partner nach einer 30 Tage Testlizenz mit Sophos Sandstorm anfragen und dieses Feature mal ausprobieren und dann bei Bedarf eure richtige Lizenz damit erweitern. 
 
 Alternativ lassen sich im E-Mail Bereich sowohl Datei-Anh&auml;nge als auch per MIME-Type Filter Mail-Anh&auml;nge aussortieren... 
 Als Beispiel ein paar sinnvolle MIME-Types: 
 application/msexcel application/msword application/vnd.openxmlformats-officedocument.spreadsheetml.sheet application/vnd.openxmlformats-officedocument.wordprocessingml.document application/vnd.ms-excel application/vnd.ms-word application/vnd.ms-word.document.macroEnabled.12 application/vnd.ms-word.template.macroEnabled.12 application/vnd.ms-excel.sheet.macroEnabled.12 application/vnd.ms-excel.template.macroEnabled.12 application/vnd.ms-excel.addin.macroEnabled.12 application/vnd.ms-excel.sheet.binary.macroEnabled.12 application/vnd.ms-powerpoint.addin.macroEnabled.12 application/vnd.ms-powerpoint.presentation.macroEnabled.12 application/vnd.ms-powerpoint.template.macroEnabled.12 application/vnd.ms-powerpoint.slideshow.macroEnabled.12 application/vnd.ms-powerpoint.slide.macroEnabled.12 application/zip application/x-rar-compressed application/x-7z-compressed 
 Gru&szlig; Steve

ex-cạthedra · Answer

>habe bisher immer noch keine Aussage vom Support, der support ist eine Katastrophe 
 ja 
 >Ransomware rutscht immer noch fr&ouml;hlich an der FW vorbei 
 ja - die Scan-Engines h&auml;tte man lieber von Kaspersky eingekauft, als so etwas Zweitklassiges. 
 >Wir haben den normalen Support welcher auch keineswegs g&uuml;nstig ist. 
 ja. 
 >Der IT Zwischenh&auml;ndler wird dann sicherlich auch noch eine Rechnung f&uuml;r die Vermittlung ausstellen. 
 ja. Beim letzten mal WLAN-Probleme hat unser Dienstleister 270&euro; verlangt. Das Problem war final immer noch nicht gel&ouml;st. Habe mir dann einen AP15 selbst gekauft (statt vorhandenem AP10) damit ging es dann wieder. 
 >Denke mittlerweile daran die Sophos abzul&ouml;sen. 
 Da bist Du nicht der Einzige - aber wahrscheinlich gibt es da wenige brauchbare Alternativen... 
 
 Gr&uuml;&szlig;e