Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Feststellen, ob ein Ransomware-Angriff in ONTAP echt ist

Beitragende netapp-dbagwell
Änderungen vorschlagen

Wenn Autonomous Ransomware Protection (ARP) ungewöhnliche Aktivitäten in einem geschützten Volume feststellt, wird eine Warnung ausgegeben und es werden verdächtige Dateien oder Details zu einem Entropieanstieg angezeigt. Sie sind dafür verantwortlich, diese ungewöhnliche Aktivität zu bewerten und festzustellen, ob sie akzeptabel (ein Fehlalarm) oder potenziell schädlich ist.

Obwohl ARP die Erkennung und Snapshot-Erstellung automatisiert, erfordert die endgültige Feststellung, ob eine Datei oder ein Ereignis tatsächlich schädlich ist, eine manuelle Untersuchung. ARP kann nicht mit Sicherheit feststellen, ob es sich bei einem Ereignis um einen echten Ransomware-Angriff handelt. Es kennzeichnet verdächtige Aktivitäten, jedoch ist eine Untersuchung und Bestätigung erforderlich, ob es sich tatsächlich um Ransomware oder einen Fehlalarm (harmlose Aktivität) handelt.

Die folgenden Beispiele können bei der Feststellung helfen, ob ein Ransomware-Angriff stattfindet.

Wichtig Sie sind allein verantwortlich für die Auswertung aller Warnmeldungen, die Untersuchung verdächtiger Dateien und die Festlegung der angemessenen Reaktion auf potenzielle Sicherheitsbedrohungen in Ihrer Umgebung. Diese Beispieluntersuchungen dienen ausschließlich zu Informationszwecken und sind nicht umfassend.
Dateierweiterungen analysieren

Die Dateiendungen der gemeldeten Dateien sollten geprüft werden. Ein offensichtliches Anzeichen für Ransomware ist das Vorhandensein von Dateien mit ungewöhnlichen oder zufälligen Zeichenkombinationen, die an ihre Namen angehängt sind. Beispielsweise kann eine Datei namens `document.docx`zu `document.docx.wcry`werden.

Bekannte Ransomware-Erweiterungen sind .wcry, .locked, .akira, .zcrypt, .phobos und andere. Die Erweiterung kann online oder mit KI-Tools recherchiert werden.

Wenn die Erweiterung nicht mit Ransomware in Verbindung steht, handelt es sich bei der Warnung wahrscheinlich um einen Fehlalarm. Wenn die Erweiterung mit Ransomware in Verbindung steht, ist die Wahrscheinlichkeit eines tatsächlichen Angriffs höher.

Hinweis Manche Ransomware ändert die Dateiendung nicht. Das Fehlen ungewöhnlicher Dateiendungen schließt einen Ransomware-Angriff nicht aus.
Der Zeitpunkt der Warnung sollte berücksichtigt werden.

Erscheint die Warnung innerhalb weniger Stunden oder Tage nach der Aktivierung von ARP, handelt es sich wahrscheinlich um einen Fehlalarm. Treten nach der Aktivierung von ARP mehrere Tage lang keine Warnungen auf und erscheint dann eine Warnung, ist die Wahrscheinlichkeit eines tatsächlichen Angriffs größer.

Versuch, die Datei zu öffnen

Markierte Dateien lassen sich mit den zugehörigen Anwendungen öffnen.

Lässt sich die Datei öffnen und ist der Inhalt normal, handelt es sich wahrscheinlich um einen Fehlalarm. Lässt sich die Datei nicht öffnen oder ist der Inhalt unlesbar, könnte sie von Ransomware verschlüsselt worden sein.

Achtung Das Öffnen verdächtiger Dateien birgt Risiken. Es ist sicherzustellen, dass die Sicherheitsrichtlinien Ihrer Organisation beachtet werden, wenn auf potenziell kompromittierte Dateien zugegriffen wird.
Nach Ransomware-Notizen suchen

Es sollte geprüft werden, ob in den betroffenen Verzeichnissen (z. B. README.txt oder DECRYPT_INSTRUCTIONS.html) Ransomware-Notizen vorhanden sind.

System- und Anwendungsverhalten analysieren

Wenn Systeme und Anwendungen normal funktionieren, handelt es sich bei der Warnung wahrscheinlich um einen Fehlalarm. Ein plötzlicher und unerklärlicher Anstieg der Dateisystemaktivität (Lese-, Schreib- und Löschvorgänge) deutet häufig auf eine aktive Ransomware-Verschlüsselung im Hintergrund hin.