Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách khôi phục 1 file bị phát hiện và xóa bởi Sophos Endpoint.

2.Các bước chuẩn bị

Thegioifirewall đã chuẩn bị 1 máy chủ chạy Windows Server có tên là adserver đã cài Sophos Endpoint.

Chuẩn bị 1 folder ứng dụng có tên SysinternalSuite đã được nén bằng 7zip.

Các bạn có thể tải xuống file SysinternalSuite tại đây.

3. Hướng dẫn cấu hình

Trên máy chủ adserver chúng ta sẽ thực hiện giải nén file zip SysinternalSuite.

Sau khi giải nén Sophos Endpoint sẽ phát hiện và xác định 2 file pskill.exe và pskill64.exe là PUA.

Sophos Endpoint sẽ thực hiện xóa 2 file này.

Trong folder SysinternalSuite trên adserver cũng không còn xuất hiện 2 file pskill.exe và pskill64.exe.

Trong bài hướng dẫn này thegioifirewall sẽ hướng dẫn các bạn cách khôi phục file pskill.exe đã bị xóa bởi Sophos Endpoint.

Để khôi phục đăng nhập vào Sophos Central bằng tài khoản quản trị.

Vào mục Device > Servers > nhấn vào tên adserver.

Chuyển sang tab Event, tại dòng PUA detected: ‘Pskill’ at … nhấn Details.

Bảng Event Details sẽ xuất hiện chúng ta sẽ chọn như sau:

• Allow by: chúng ta có thể chọn SHA256, Certificate: Microsoft Coporation hoặc Path, ở đây thegioifirewall sẽ chọn SHA 256 ( SHA-256 cho phép phiên bản này của ứng dụng. Tuy nhiên, nếu ứng dụng được cập nhật, nó có thể được phát hiện một lần nữa. Sử dụng Chứng chỉ cũng sẽ cho phép các ứng dụng có cùng chứng chỉ)
• To help Sophos improve … : Các bạn có có chọn một comment có sẵn trong danh sách.
• Nhấn Allow.

Thông báo thành công sẽ xuất hiện, đồng thời Sophos cũng tạo một ngoại lệ cho file này đối với adserver.

Khi ngoại lệ được tạo, Sophos sẽ không quét file này trên adserver nữa khi nó xuất hiện.

Để xem ngoại lệ Allowed Applications.

Ngoại lệ dành cho file pskill.exe đã được tạo.

Việc khôi phục file này được Sophos Safestore ghi lại log.

Để xem log các bạn nhấn tổ hợp phím Alt + R và nhập vào đường dẫn %ProgramData%\Sophos\SafeStore\Logs và nhấn Enter trên adserver.

Mở file safestore.log.

Dòng Savefile: C:\Users\Administrator\…\pskill.exe là dòng thể hiện nơi file pskill.exe được lưu lúc đầu trên adserver.

Dòng Restored: C:\Users\Administrators\…\pskill.exe là dòng thể hiện Sophos Safestore đã khôi phục file pskill và thư mục SysinternalSuite trên adserver.

Để kiểm tra file pskill.exe đã được khôi phục chưa chúng ta quay trở lại folder SysinternalSuite trên adserver.

Chúng ta sẽ thấy được rằng file pskill.exe đã xuất hiện trong folder.