Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Determine se um ataque de ransomware é real no ONTAP

Colaboradores netapp-dbagwell

Quando a Proteção Autônoma contra Ransomware (ARP) detecta atividade anormal em um volume protegido, ela emite um aviso e exibe arquivos suspeitos ou detalhes de picos de entropia. Você é responsável por avaliar essa atividade incomum para determinar se ela é aceitável (um falso positivo) ou potencialmente maliciosa.

Embora o ARP automatize a detecção e a criação de snapshots, a determinação final sobre se um arquivo ou evento é realmente malicioso requer investigação manual. O ARP não pode determinar definitivamente se um evento é um ataque de ransomware real. Ele sinaliza atividades suspeitas, mas você precisará investigar e confirmar se o evento é realmente ransomware ou um falso positivo (atividade benigna).

Os exemplos a seguir podem ajudar você a determinar se está ocorrendo um ataque de ransomware.

Importante Você é o único responsável por avaliar todos os alertas, investigar arquivos suspeitos e determinar a resposta apropriada a potenciais ameaças à segurança em seu ambiente. Esses exemplos de investigação são apenas para fins informativos e não são exaustivos.
Analisar extensões de arquivo

Examine as extensões dos arquivos relatados. Um sinal óbvio de ransomware é a presença de arquivos com combinações de caracteres incomuns ou aleatórias anexadas aos seus nomes. Por exemplo, um arquivo chamado document.docx pode se tornar document.docx.wcry.

Extensões conhecidas de ransomware incluem .wcry, .locked, .akira, .zcrypt, .phobos e outras. Pesquise a extensão online ou com ferramentas de IA.

Se a extensão não estiver associada a ransomware, o alerta provavelmente é um falso positivo. Se a extensão estiver associada a ransomware, a probabilidade de um ataque real é maior.

Observação Alguns ransomwares não alteram as extensões dos arquivos. A ausência de extensões incomuns não elimina a possibilidade de um ataque de ransomware.
Considere o momento do alerta

Se o alerta ocorrer poucas horas ou dias após a ativação do ARP, é provável que seja um falso positivo. Se não houver alertas por vários dias após a ativação do ARP e então um alerta aparecer, a probabilidade de um ataque real é maior.

Tente abrir o arquivo

Tente abrir os arquivos sinalizados com os respectivos aplicativos.

Se o arquivo abrir e o conteúdo for normal, provavelmente trata-se de um falso positivo. Se o arquivo não puder ser aberto ou o conteúdo for ilegível, ele pode ter sido criptografado por ransomware.

Cuidado Abrir arquivos suspeitos acarreta riscos. Certifique-se de seguir os protocolos de segurança da sua organização ao tentar acessar arquivos potencialmente comprometidos.
Procure por notas de ransomware

Verifique se há notas de ransomware nos diretórios afetados (por exemplo, README.txt ou DECRYPT_INSTRUCTIONS.html).

Analisar o comportamento do sistema e da aplicação

Se os sistemas e aplicativos estiverem funcionando normalmente, o alerta provavelmente é um falso positivo. Um aumento repentino e inexplicável na atividade do sistema de arquivos (leituras, gravações e exclusões) geralmente indica criptografia de ransomware ativa em segundo plano.

Informações relacionadas