Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 3 subscribers
  • Views 36922 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cryptowall 3.0 Prevention

syuusuke
Hello,

I just got hit with Cryptowall 3.0 on Friday and SEP on the infected workstation didn't prevent the attack until it started to detect help_decrypt.txt .png .html files.  The endpoint client was up-to-date so I'm not sure why this happened.  Wasn't Sophos AV suppose to prevent such malware behaviour from fully executing?  Did anyone encounter the same thing?

FYI, Cryptowall managed to delete my shadow copy but luckily I do have backups.

Edit - After reading replies, yes I do use Sophos UTM as well. All the workstations uses Sophos Endpoint Protection.


This thread was automatically locked due to age.
Parents
  • 0
    Hello,

    I just got hit with Cryptowall 3.0 on Friday and SEP on the infected workstation didn't prevent the attack until it started to detect help_decrypt.txt .png .html files.  The endpoint client was up-to-date so I'm not sure why this happened.  Wasn't Sophos AV suppose to prevent such malware behaviour from fully executing?  Did anyone encounter the same thing?

    FYI, Cryptowall managed to delete my shadow copy but luckily I do have backups.


    one of the best defenses against cryptowall is to NOT run as admin.  if you do that then your shadow copies are safe and you also have your backups..[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    one of the best defenses against cryptowall is to NOT run as admin.  if you do that then your shadow copies are safe and you also have your backups..[:)]


    Yeah I know but it's a small shop and they don't want the hassle to keep calling the admin to install stuff for them.

    I just thought that Sophos suspicious behavior protection would protect from this sort of malware.
Reply
  • 0 in reply to William Warren
    one of the best defenses against cryptowall is to NOT run as admin.  if you do that then your shadow copies are safe and you also have your backups..[:)]


    Yeah I know but it's a small shop and they don't want the hassle to keep calling the admin to install stuff for them.

    I just thought that Sophos suspicious behavior protection would protect from this sort of malware.
Children
No Data
Unfiltered HTML