Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 3 subscribers
  • Views 36401 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cryptowall 3.0 Prevention

syuusuke
Hello,

I just got hit with Cryptowall 3.0 on Friday and SEP on the infected workstation didn't prevent the attack until it started to detect help_decrypt.txt .png .html files.  The endpoint client was up-to-date so I'm not sure why this happened.  Wasn't Sophos AV suppose to prevent such malware behaviour from fully executing?  Did anyone encounter the same thing?

FYI, Cryptowall managed to delete my shadow copy but luckily I do have backups.

Edit - After reading replies, yes I do use Sophos UTM as well. All the workstations uses Sophos Endpoint Protection.


This thread was automatically locked due to age.
Parents
  • 0
    what they need to so is to put an admin account on the machines for the users to use only if they have to instlal something.  UAC will aks them for the admin password when it needs it..otherwise they won't.  also keep things like flash and java off the machines unless they are absolutely necessary(90% of the time they aren't).  shockwave needs to be banished.  
    if you are running as admin then nothing is going to be able to protect you as it has elevated rights to bypass anything you have running on the machines.  admin=infected.  Unless they have a well configured sophos utm in front of the entire network they will get compromised again if they refuse to not run as admin.  here's my basics on not getting infected.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Reply
  • 0
    what they need to so is to put an admin account on the machines for the users to use only if they have to instlal something.  UAC will aks them for the admin password when it needs it..otherwise they won't.  also keep things like flash and java off the machines unless they are absolutely necessary(90% of the time they aren't).  shockwave needs to be banished.  
    if you are running as admin then nothing is going to be able to protect you as it has elevated rights to bypass anything you have running on the machines.  admin=infected.  Unless they have a well configured sophos utm in front of the entire network they will get compromised again if they refuse to not run as admin.  here's my basics on not getting infected.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Children
No Data
Unfiltered HTML