Déterminez si une attaque de ransomware est réelle dans ONTAP
Suggérer des modifications
PDF
Lorsque la protection autonome contre les ransomwares (ARP) détecte une activité anormale sur un volume protégé, elle émet un avertissement et affiche les fichiers suspects ou les détails des pics d'entropie. Il vous incombe d'évaluer cette activité inhabituelle afin de déterminer si elle est acceptable (faux positif) ou potentiellement malveillante.
Bien qu'ARP automatise la détection et la création d'instantanés, la détermination finale du caractère malveillant d'un fichier ou d'un événement nécessite une investigation manuelle. ARP ne peut pas déterminer avec certitude si un événement est une véritable attaque de ransomware. Il signale les activités suspectes, mais vous devrez enquêter et confirmer si l'événement correspond réellement à un ransomware ou à un faux positif (activité bénigne).
Les exemples suivants peuvent vous aider à déterminer si une attaque par rançongiciel est en cours.
|
Il vous incombe entièrement d'évaluer toutes les alertes, d'examiner les fichiers suspects et de déterminer la réponse appropriée aux menaces de sécurité potentielles dans votre environnement. Ces exemples d'enquêtes sont fournis à titre informatif uniquement et ne sont pas exhaustifs. |
Examinez les extensions des fichiers signalés. Un signe évident de ransomware est la présence de fichiers dont le nom comporte des combinaisons de caractères inhabituelles ou aléatoires. Par exemple, un fichier appelé document.docx pourrait devenir document.docx.wcry.
Les extensions de ransomware connues incluent .wcry, .locked, .akira, .zcrypt, .phobos et d'autres. Faites des recherches sur l’extension en ligne ou à l’aide d’outils d’IA.
Si l'extension n'est pas associée à un ransomware, l'alerte est probablement un faux positif. Si l'extension est associée à un ransomware, la probabilité d'une véritable attaque est plus élevée.
|
Certains rançongiciels ne modifient pas les extensions de fichiers. L'absence d'extensions inhabituelles n'exclut pas la possibilité d'une attaque par rançongiciel. |
Si l'alerte survient quelques heures ou quelques jours après l'activation d'ARP, il s'agit probablement d'un faux positif. Si aucune alerte ne survient pendant plusieurs jours après l'activation d'ARP, puis qu'une alerte apparaît, la probabilité d'une véritable attaque est plus élevée.
Essayez d'ouvrir les fichiers signalés avec leurs applications associées.
Si le fichier s'ouvre et que son contenu est normal, il s'agit probablement d'un faux positif. Si le fichier ne s'ouvre pas ou si son contenu est illisible, il est possible qu'il soit chiffré par un rançongiciel.
|
L'ouverture de fichiers suspects comporte des risques. Veillez à respecter les protocoles de sécurité de votre organisation lorsque vous tentez d'accéder à des fichiers potentiellement compromis. |
Vérifiez la présence de notes de ransomware dans les répertoires affectés (par exemple, README.txt ou DECRYPT_INSTRUCTIONS.html).
Si les systèmes et les applications fonctionnent normalement, l'alerte est probablement un faux positif. Une augmentation soudaine et inexpliquée de l'activité du système de fichiers (lectures, écritures et suppressions) indique souvent un chiffrement actif par ransomware en arrière-plan.