Sophos erkennt Ransomware nach 4 Tagen noch nicht trotz zweifachscan

Feedback: Alles richtig konfiguriert laut Sophos support. Die Viren werden einfach nicht als Virus erkannt... keine Lösung

und weiter rutschen fröhlich die Trojaner am zweifachscan vorbei.......

HEUR:Trojan-Dropper.Script.SDrop.gen Virenerkennung bei Sophos ist eine Katastrophe

Für solche Art Schadsoftware ist eigentlich Sophos Sandstorm implementiert worden. Vermutlich habt ihr das nicht aktiv? Am besten mal beim Sophos Partner nach einer 30 Tage Testlizenz mit Sophos Sandstorm anfragen und dieses Feature mal ausprobieren und dann bei Bedarf eure richtige Lizenz damit erweitern.

Alternativ lassen sich im E-Mail Bereich sowohl Datei-Anhänge als auch per MIME-Type Filter Mail-Anhänge aussortieren...

Als Beispiel ein paar sinnvolle MIME-Types:

application/msexcel
application/msword
application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
application/vnd.openxmlformats-officedocument.wordprocessingml.document
application/vnd.ms-excel
application/vnd.ms-word
application/vnd.ms-word.document.macroEnabled.12
application/vnd.ms-word.template.macroEnabled.12
application/vnd.ms-excel.sheet.macroEnabled.12
application/vnd.ms-excel.template.macroEnabled.12
application/vnd.ms-excel.addin.macroEnabled.12
application/vnd.ms-excel.sheet.binary.macroEnabled.12
application/vnd.ms-powerpoint.addin.macroEnabled.12
application/vnd.ms-powerpoint.presentation.macroEnabled.12
application/vnd.ms-powerpoint.template.macroEnabled.12
application/vnd.ms-powerpoint.slideshow.macroEnabled.12
application/vnd.ms-powerpoint.slide.macroEnabled.12
application/zip
application/x-rar-compressed
application/x-7z-compressed

Gruß Steve

Hallo Steve, heute hatte ich sogar den Fall, dass ein .jar Trojaner durchgekommen ist. Von Excel Macros will ich erst gar nicht sprechen.

Ich habe folgende Dateiendungen nun angepasst u. blockiert unter File Extention Filter. Eingegeben ohne führenden Punkt.
Anbei meine blockierten Dateiendungen, falls noch jemanden etwas sinvolles einfällt (außer Macro u. Office Dokumente) bitte ergänzen.

Wie kann ich die Dateitypen noch in der Mimefilterung darüber einbinden? Danke

asf    
bas    
bat    
chm        
cmd
com       
cpl    
crt    
eml            
folder
hlp    
hta    
inf    
ins    
isp        
jsp        
mde    
msc      
msp    
mst        
nws    
pl     
scf    
scr    
sct    
shs    
vb     
vbe    
vcd    
ws
wsc
wsf
wsh
js
jar
pif
vbs
ps1

Für Dateiendungen ggf. noch .doc, .docm,.xls, xlsm u.a. Office-Dateien...

Für die MIME-Types siehe mein vorheriges Post, da habe ich einige Beispiele aufgezählt.

Und teste auf jeden Fall mal das Sandstorm, dann sollte es relativ ruhig werden...

Gruß Steve

Guten Morgen Steve, habe jetzt noch die 3 Mime Types hinzugefügt

application/javascript
application/json
text/javascript

ist Sandstorm mittlerweile wirklich besser?????

Kann bisher nichts Negatives berichten. Zumindest die neuartige Schadsoftware wird ganz gut aussortiert. Es ist genau für solche Bedrohungen gedacht, weil da normale signaturbasierende Virenschutzlösungen bei der Dynamik der Schadsoftware (nachladen von Code...) eher schlecht und unzuverlässig arbeiten.

Ich kann dir auch eine Testlizenz inkl. Sandstorm ausstellen und du probierst es selber aus -> per PM melden und mir dein SG Model mitteilen.

Im Bereich von E-Mail ist es auch wichtig, seine DNS-Einträge v.a. SPF-Record ordentlich zu pflegen, damit fliegt auch schon ziemlich viel Mist raus...

Gruß Steve