Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Determina si un ataque de ransomware es real en ONTAP

Colaboradores netapp-dbagwell
PDF

Cuando la Protección Autónoma contra Ransomware (ARP) detecta actividad anómala en un volumen protegido, emite una advertencia y muestra archivos sospechosos o detalles del pico de entropía. Tú eres responsable de evaluar esta actividad inusual para determinar si es aceptable (un falso positivo) o potencialmente maliciosa.

Aunque ARP automatiza la detección y la creación de instantáneas, la determinación final de si un archivo o un evento es realmente malicioso requiere una investigación manual. ARP no puede determinar de forma definitiva si un evento es un auténtico ataque de ransomware. Señala actividades sospechosas, pero tendrás que investigar y confirmar si el evento es realmente un caso de ransomware o un falso positivo (actividad inofensiva).

Los siguientes ejemplos pueden ayudarte a determinar si se está produciendo un ataque de ransomware.

Importante Tú eres el único responsable de evaluar todas las alertas, investigar los archivos sospechosos y determinar la respuesta adecuada ante posibles amenazas de seguridad en tu entorno. Estos ejemplos de investigaciones tienen únicamente fines informativos y no son exhaustivos.
Analizar las extensiones de los archivos

Comprueba las extensiones de los archivos notificados. Un indicio evidente de ransomware es la presencia de archivos con combinaciones de caracteres inusuales o aleatorias añadidas a sus nombres. Por ejemplo, un archivo llamado document.docx podría convertirse en document.docx.wcry.

Entre las extensiones conocidas de ransomware se incluyen .wcry, .locked, .akira, .zcrypt, .phobos y otras. Investiga la extensión en línea o con herramientas de IA.

Si la extensión no está asociada con ransomware, es probable que la alerta sea un falso positivo. Si la extensión está asociada con ransomware, la probabilidad de que se trate de un ataque real es mayor.

Nota Algunos programas de ransomware no modifican las extensiones de los archivos. La ausencia de extensiones inusuales no descarta la posibilidad de un ataque de ransomware.
Ten en cuenta el momento en que se produce la alerta

Si la alerta se produce a las pocas horas o días de habilitar ARP, es probable que sea un falso positivo. Si no se producen alertas durante varios días tras habilitar ARP y luego aparece una alerta, la probabilidad de que sea un ataque real es mayor.

Intenta abrir el archivo

Intenta abrir los archivos marcados con sus aplicaciones correspondientes.

Si el archivo se abre y el contenido es normal, es probable que se trate de un falso positivo. Si el archivo no se puede abrir o el contenido es ilegible, es posible que esté cifrado por ransomware.

Precaución Abrir archivos sospechosos conlleva riesgos. Asegúrate de seguir los protocolos de seguridad de tu organización cuando intentes acceder a archivos que puedan estar comprometidos.
Busca las notas del ransomware

Comprueba si hay notas de ransomware en los directorios afectados (por ejemplo, README.txt o DECRYPT_INSTRUCTIONS.html).

Analiza el comportamiento del sistema y de las aplicaciones

Si los sistemas y las aplicaciones funcionan con normalidad, es probable que la alerta sea un falso positivo. Un aumento repentino e inexplicable de la actividad del sistema de archivos (lecturas, escrituras y eliminaciones) suele indicar cifrado activo de ransomware en segundo plano.

Información relacionada