Determina se un attacco ransomware è reale in ONTAP
Quando Autonomous Ransomware Protection (ARP) rileva attività anomala in un volume protetto, emette un avviso e mostra i file sospetti o i dettagli sui picchi di entropia. Sei tu che devi valutare questa attività insolita per determinare se sia accettabile (un falso positivo) o potenzialmente dannosa.
Sebbene ARP automatizzi il rilevamento e la creazione di snapshot, la determinazione finale della natura effettivamente dannosa di un file o di un evento richiede un'indagine manuale. ARP non può stabilire con certezza se un evento sia un vero attacco ransomware. Segnala le attività sospette, ma devi indagare e confermare se l'evento sia effettivamente ransomware o un falso positivo (attività innocua).
I seguenti esempi possono aiutarti a capire se è in corso un attacco ransomware.
|
|
Sei l'unico responsabile della valutazione di tutti gli avvisi, dell'indagine sui file sospetti e della determinazione della risposta appropriata alle potenziali minacce alla sicurezza nel tuo ambiente. Questi esempi di indagine sono solo a scopo informativo e non sono esaustivi. |
Esamina le estensioni dei file segnalati. Un segno evidente di ransomware è la presenza di file con combinazioni di caratteri insolite o casuali aggiunte ai loro nomi. Ad esempio, un file chiamato document.docx potrebbe diventare document.docx.wcry.
Tra le estensioni ransomware conosciute figurano .wcry, .locked, .akira, .zcrypt, .phobos e altre. Cerca l'estensione online o con strumenti di intelligenza artificiale.
Se l'estensione non è associata a ransomware, è probabile che l'avviso sia un falso positivo. Se l'estensione è associata a ransomware, la probabilità di un attacco reale è maggiore.
|
|
Alcuni ransomware non modificano le estensioni dei file. L'assenza di estensioni insolite non esclude la possibilità di un attacco ransomware. |
Se l'avviso si verifica entro poche ore o giorni dall'attivazione di ARP, è probabile che si tratti di un falso positivo. Se non si verificano avvisi per diversi giorni dopo l'attivazione di ARP e poi ne compare uno, la probabilità di un attacco reale è maggiore.
Prova ad aprire i file contrassegnati con le relative applicazioni.
Se il file si apre e il contenuto è normale, è probabile che si tratti di un falso positivo. Se il file non si apre o il contenuto è illeggibile, potrebbe essere crittografato da un ransomware.
|
|
L'apertura di file sospetti comporta dei rischi. Assicurati di seguire i protocolli di sicurezza della tua organizzazione quando tenti di accedere a file potenzialmente compromessi. |
Verifica la presenza di note di riscatto nelle directory interessate (ad esempio, README.txt o DECRYPT_INSTRUCTIONS.html).
Se i sistemi e le applicazioni funzionano normalmente, è probabile che l'avviso sia un falso positivo. Un picco improvviso e inspiegabile nell'attività del file system (letture, scritture ed eliminazioni) spesso indica la presenza di una cifratura ransomware attiva in background.