Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Determina se un attacco ransomware è reale in ONTAP

Collaboratori netapp-dbagwell

Quando Autonomous Ransomware Protection (ARP) rileva attività anomala in un volume protetto, emette un avviso e mostra i file sospetti o i dettagli sui picchi di entropia. Sei tu che devi valutare questa attività insolita per determinare se sia accettabile (un falso positivo) o potenzialmente dannosa.

Sebbene ARP automatizzi il rilevamento e la creazione di snapshot, la determinazione finale della natura effettivamente dannosa di un file o di un evento richiede un'indagine manuale. ARP non può stabilire con certezza se un evento sia un vero attacco ransomware. Segnala le attività sospette, ma devi indagare e confermare se l'evento sia effettivamente ransomware o un falso positivo (attività innocua).

I seguenti esempi possono aiutarti a capire se è in corso un attacco ransomware.

Importante Sei l'unico responsabile della valutazione di tutti gli avvisi, dell'indagine sui file sospetti e della determinazione della risposta appropriata alle potenziali minacce alla sicurezza nel tuo ambiente. Questi esempi di indagine sono solo a scopo informativo e non sono esaustivi.
Analizza le estensioni dei file

Esamina le estensioni dei file segnalati. Un segno evidente di ransomware è la presenza di file con combinazioni di caratteri insolite o casuali aggiunte ai loro nomi. Ad esempio, un file chiamato document.docx potrebbe diventare document.docx.wcry.

Tra le estensioni ransomware conosciute figurano .wcry, .locked, .akira, .zcrypt, .phobos e altre. Cerca l'estensione online o con strumenti di intelligenza artificiale.

Se l'estensione non è associata a ransomware, è probabile che l'avviso sia un falso positivo. Se l'estensione è associata a ransomware, la probabilità di un attacco reale è maggiore.

Nota Alcuni ransomware non modificano le estensioni dei file. L'assenza di estensioni insolite non esclude la possibilità di un attacco ransomware.
Considera la tempistica dell'allerta

Se l'avviso si verifica entro poche ore o giorni dall'attivazione di ARP, è probabile che si tratti di un falso positivo. Se non si verificano avvisi per diversi giorni dopo l'attivazione di ARP e poi ne compare uno, la probabilità di un attacco reale è maggiore.

Prova ad aprire il file

Prova ad aprire i file contrassegnati con le relative applicazioni.

Se il file si apre e il contenuto è normale, è probabile che si tratti di un falso positivo. Se il file non si apre o il contenuto è illeggibile, potrebbe essere crittografato da un ransomware.

Avvertenza L'apertura di file sospetti comporta dei rischi. Assicurati di seguire i protocolli di sicurezza della tua organizzazione quando tenti di accedere a file potenzialmente compromessi.
Cerca le note di ransomware

Verifica la presenza di note di riscatto nelle directory interessate (ad esempio, README.txt o DECRYPT_INSTRUCTIONS.html).

Analizza il comportamento del sistema e dell'applicazione

Se i sistemi e le applicazioni funzionano normalmente, è probabile che l'avviso sia un falso positivo. Un picco improvviso e inspiegabile nell'attività del file system (letture, scritture ed eliminazioni) spesso indica la presenza di una cifratura ransomware attiva in background.

Informazioni correlate