This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cryptowall 3.0 Prevention

Hello,

I just got hit with Cryptowall 3.0 on Friday and SEP on the infected workstation didn't prevent the attack until it started to detect help_decrypt.txt .png .html files.  The endpoint client was up-to-date so I'm not sure why this happened.  Wasn't Sophos AV suppose to prevent such malware behaviour from fully executing?  Did anyone encounter the same thing?

FYI, Cryptowall managed to delete my shadow copy but luckily I do have backups.

Edit - After reading replies, yes I do use Sophos UTM as well. All the workstations uses Sophos Endpoint Protection.


This thread was automatically locked due to age.
Parents
  • sophos endpoint control causes any endpoint to bypass the utm.  This is setup by default inside of the utm.  If you enable endpoint controlled clients to be scanned your access times get really high and the endpoint controlled clients go very slow.   This is why when i have a utm deployed i use AVG behind it.  then you have a truly 3 layer anti-malware defense going along with the other defenses the sophos utm gives you.

    so if the machine the OP is talking about has sophos endpoint control on it behind a utm his machine is only protected by endpoint control and therefore running as admin he's basically doomed.

    I run as admin behind my utm with no anti-stuff on the machine.  i of course follow the rest of the basics(which i mention inside the post i link to).  it takes effort to modify one's behavior to be able to run securely and at least 85% of the population(and this includes network admins) are waaaay too complacent about their security.  

    On my surface however i follow my recommendations to the letter.  I do not run as admin and i have avg on that machine so when it is behind my UTM it is protected by not only AVg but by the UTM as well.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • sophos endpoint control causes any endpoint to bypass the utm.


    I never heard of this before.  Which features on the UTM does it bypass?  It can't be all?

    Doesn't Sophos Endpoint Protection suspicious behavior detection using HIPS is suppose to block or alert at the very minimum?
Reply
  • sophos endpoint control causes any endpoint to bypass the utm.


    I never heard of this before.  Which features on the UTM does it bypass?  It can't be all?

    Doesn't Sophos Endpoint Protection suspicious behavior detection using HIPS is suppose to block or alert at the very minimum?
Children
  • I never heard of this before.  Which features on the UTM does it bypass?  It can't be all?

    Doesn't Sophos Endpoint Protection suspicious behavior detection using HIPS is suppose to block or alert at the very minimum?


    Sure but it is very difficult to impossible to stop something running as the effective super user when the bad thing also runs as super user.  This is true for any anti-stuff.  This is why unix machines make it hard to run directly as root.  If you are not the super user you are limited in the damage you can do.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow