Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 17 replies
  • Answers 2 answers
  • Subscribers 42 subscribers
  • Views 22345 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos erkennt Ransomware nach 4 Tagen noch nicht trotz zweifachscan

HansiMüller

Hallo zusammen,

meine aktuellen Erfahrungen mit der Sophos SG. Gestern massive Welle an Office Anhängen mit Verschlüsselungstrojaner.

Unser anderer Scanner auf dem Gateway erkannte den Trojaner bereits am 15.12. Sophos u. Avira Engine auf der SG210 erkannten ihn noch nicht mal 4 Tage später am 19.12!

Bezeichnung HEUR:Trojan-Downloader.Script.Generic

ein absolut BESCHEIDENES Ergebnis!



This thread was automatically locked due to age.
  • 0

    47x gelesen und keine Aktion? Heute Morgen wieder zahlreiche .doc Verschlüsselungstrojaner über die Sophos gerutscht.

    Sophos eher etwas für Privatanwender...

  • 0 in reply to HansiMüller

    Was erwartest du? Hier wird sich niemand von Sophos melden. Das musst du schon über den Sophos-Support machen.

    Was die Reaktionszeit anbelangt, war der letzte Kontakt mit dem Support  (trotz "Premium-Support"),

    eher eine Katastrophe. Was an dem "Premium-Support" premium sein soll, konnte ich jedenfalls nicht erkennen.

  • 0 in reply to HolgerFlockenhaus

    Call ist ebenfalls eröffnet. Gesterne wieder eine Variante welche nicht erkannt wurde.

    Steckt sicherlich die CLAM AV Engine dahinter, taugt eben nichts...

    Das einzige was hier Premium ist, ist der hohe Preis.

  • 0 in reply to HansiMüller

    Hallo Hansi,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    The CLAM engine was abandoned when the Sophos engine was added, so that's not the problem.

    You might be interested in How to report false positive or false negative Virus / Spam E-Mails on Sophos UTM.

    If you use an external mail server that can be reached without transiting the UTM, the attacker(s) might have found an open port 25 on a scan.

    Premium Support only allows the end user (you) to open support tickets directly instead of going through your reseller.  There is no other, additional service or support.  None of our clients contacts Sophos Support directly, so we don't sell Premium Support.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo,

    wie Bob sagte, CLAM-AV ist vorbei.

    Wenn 2 fach Av Scan aktiviert ist (würde ich bei Zeit-unkritischen Mails immer machen) wird mit avira und sophos gescannt.

     


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo zusammen,

    open relay kann ich ausschließen, die Mails kommen über die Sophos Firewall mit aktiviertem 2fach Scan....

  • 0 in reply to BAlfson

    Hallo BAlfson,

    na ja, hier steht zum Beispiel:

     

    UTM9 Premium: Mit diesem Support-Plan erhalten Sie rund um die Uhr technischen Support

    direkt von Sophos-internen Support Engineers, automatische Softwareupdates und -upgrades

    sowie Anspruch auf unseren Vorabaustausch-Service.

     

    Und auch wenn früher nicht alles besser war, der Support, oder auf jeden Fall die Erreichbarkeit,

    war früher wesentlich besser. Bei dem letzen Fall konnte ich telefonisch niemanden erreichen und

    der erste ernstzunehmende Kontakt war nach ~ 2 Tagen.

  • 0 in reply to HolgerFlockenhaus

    habe bisher immer noch keine Aussage vom Support, der support ist eine Katastrophe, Ransomware rutscht immer noch fröhlich an der FW vorbei. Wir haben den normalen Support welcher auch keineswegs günstig ist. Der IT Zwischenhändler wird dann sicherlich auch noch eine Rechnung für die Vermittlung ausstellen.

    Denke mittlerweile daran die Sophos abzulösen.

  • 0 in reply to HansiMüller

    Hallo,

    bitten Sie doch ihren Sophos-Partner noch mal dort anzurufen.

    Dann geht es stellenweise ziemlich schnell.

    Wie ist denn die Diagnose vom Partner? Eine "geht nicht" Diagnose wird gerne mal später bearbeitet.

    Ein paar Fragen ...

    Die Mails sind im log des Mail-Managers auch zu sehen?

    Die Option "Quarantine unscannable and encrypted content" ist aktiviert?

    Was ist denn beim "anderer Scanner auf dem Gateway" der andere Scanner und was für ein Gateway ist im Einsatz?

     


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    >habe bisher immer noch keine Aussage vom Support, der support ist eine Katastrophe

    ja

    >Ransomware rutscht immer noch fröhlich an der FW vorbei

    ja - die Scan-Engines hätte man lieber von Kaspersky eingekauft, als so etwas Zweitklassiges.

    >Wir haben den normalen Support welcher auch keineswegs günstig ist.

    ja.

    >Der IT Zwischenhändler wird dann sicherlich auch noch eine Rechnung für die Vermittlung ausstellen.

    ja. Beim letzten mal WLAN-Probleme hat unser Dienstleister 270€ verlangt. Das Problem war final immer noch nicht gelöst. Habe mir dann einen AP15 selbst gekauft (statt vorhandenem AP10) damit ging es dann wieder.

    >Denke mittlerweile daran die Sophos abzulösen.

    Da bist Du nicht der Einzige - aber wahrscheinlich gibt es da wenige brauchbare Alternativen...

     

    Grüße

Unfiltered HTML