Cryptowall 3.0 Prevention

Hello,

I just got hit with Cryptowall 3.0 on Friday and SEP on the infected workstation didn't prevent the attack until it started to detect help_decrypt.txt .png .html files.  The endpoint client was up-to-date so I'm not sure why this happened.  Wasn't Sophos AV suppose to prevent such malware behaviour from fully executing?  Did anyone encounter the same thing?

FYI, Cryptowall managed to delete my shadow copy but luckily I do have backups.

one of the best defenses against cryptowall is to NOT run as admin.  if you do that then your shadow copies are safe and you also have your backups..[:)]

one of the best defenses against cryptowall is to NOT run as admin.  if you do that then your shadow copies are safe and you also have your backups..[:)]

Yeah I know but it's a small shop and they don't want the hassle to keep calling the admin to install stuff for them.

I just thought that Sophos suspicious behavior protection would protect from this sort of malware.

what they need to so is to put an admin account on the machines for the users to use only if they have to instlal something.  UAC will aks them for the admin password when it needs it..otherwise they won't.  also keep things like flash and java off the machines unless they are absolutely necessary(90% of the time they aren't).  shockwave needs to be banished.  
if you are running as admin then nothing is going to be able to protect you as it has elevated rights to bypass anything you have running on the machines.  admin=infected.  Unless they have a well configured sophos utm in front of the entire network they will get compromised again if they refuse to not run as admin.  here's my basics on not getting infected.

A little off topic, but do you know of a way to allow users to use UAC to enter Admin credentials to install something on their account, but not allow users to log in as that Admin account?

Or... Endpoint could do its job as well and help prevent infection.

Or... Endpoint could do its job as well and help prevent infection.

it does if you configure your workstation correctly.  If you are running as admin there's nothing anything can do to totally protect you.

it does if you configure your workstation correctly.  If you are running as admin there's nothing anything can do to totally protect you.

Well obviously, yes.  However, the failure of Endpoint not even catching it or warning about it is bad.  Configured workstations with decent anti-virus can and will still catch things like this.  My point was specifically failure on the virus engine part, not about the configuration of a computer.

Well obviously, yes.  However, the failure of Endpoint not even catching it or warning about it is bad.  Configured workstations with decent anti-virus can and will still catch things like this.  My point was specifically failure on the virus engine part, not about the configuration of a computer.

you are missing the forest for the trees.  If a user is logged in as admin the fact that endpoint missed is not endpoints problem it is the admin/user.  Take admin away then the endpoint protection has better access than the user.  This goes for any a/v not just sophos.  Some endpoints are better than others but all of them suffer badly when you operate as an admin 100% of the time.

Or... Endpoint could do its job as well and help prevent infection.

Anti-malware measures by ANY manufacturer that are signature based are reactionary at best.  They prevent nuisance infections and most commonly known malware but are nearly useless against unknown malware.  It is trivial to create a payload that is not detectable by current signatures.  It would be nice if it worked better than that, but it doesn't.

I don't understand. The shop is not using the UTM? Did the UTM completely miss crypto also? 

The way OP is describing the situation, is he using the sophos endpoint protection with the UTM or the Endpoint Security and Control.