Determine se um ataque de ransomware é real no ONTAP
Quando a Proteção Autônoma contra Ransomware (ARP) detecta atividade anormal em um volume protegido, ela emite um aviso e exibe arquivos suspeitos ou detalhes de picos de entropia. Você é responsável por avaliar essa atividade incomum para determinar se ela é aceitável (um falso positivo) ou potencialmente maliciosa.
Embora o ARP automatize a detecção e a criação de snapshots, a determinação final sobre se um arquivo ou evento é realmente malicioso requer investigação manual. O ARP não pode determinar definitivamente se um evento é um ataque de ransomware real. Ele sinaliza atividades suspeitas, mas você precisará investigar e confirmar se o evento é realmente ransomware ou um falso positivo (atividade benigna).
Os exemplos a seguir podem ajudar você a determinar se está ocorrendo um ataque de ransomware.
|
|
Você é o único responsável por avaliar todos os alertas, investigar arquivos suspeitos e determinar a resposta apropriada a potenciais ameaças à segurança em seu ambiente. Esses exemplos de investigação são apenas para fins informativos e não são exaustivos. |
Examine as extensões dos arquivos relatados. Um sinal óbvio de ransomware é a presença de arquivos com combinações de caracteres incomuns ou aleatórias anexadas aos seus nomes. Por exemplo, um arquivo chamado document.docx pode se tornar document.docx.wcry.
Extensões conhecidas de ransomware incluem .wcry, .locked, .akira, .zcrypt, .phobos e outras. Pesquise a extensão online ou com ferramentas de IA.
Se a extensão não estiver associada a ransomware, o alerta provavelmente é um falso positivo. Se a extensão estiver associada a ransomware, a probabilidade de um ataque real é maior.
|
|
Alguns ransomwares não alteram as extensões dos arquivos. A ausência de extensões incomuns não elimina a possibilidade de um ataque de ransomware. |
Se o alerta ocorrer poucas horas ou dias após a ativação do ARP, é provável que seja um falso positivo. Se não houver alertas por vários dias após a ativação do ARP e então um alerta aparecer, a probabilidade de um ataque real é maior.
Tente abrir os arquivos sinalizados com os respectivos aplicativos.
Se o arquivo abrir e o conteúdo for normal, provavelmente trata-se de um falso positivo. Se o arquivo não puder ser aberto ou o conteúdo for ilegível, ele pode ter sido criptografado por ransomware.
|
|
Abrir arquivos suspeitos acarreta riscos. Certifique-se de seguir os protocolos de segurança da sua organização ao tentar acessar arquivos potencialmente comprometidos. |
Verifique se há notas de ransomware nos diretórios afetados (por exemplo, README.txt ou DECRYPT_INSTRUCTIONS.html).
Se os sistemas e aplicativos estiverem funcionando normalmente, o alerta provavelmente é um falso positivo. Um aumento repentino e inexplicável na atividade do sistema de arquivos (leituras, gravações e exclusões) geralmente indica criptografia de ransomware ativa em segundo plano.