Avvisi per la protezione contro le minacce

Questi avvisi riguardano la protezione contro le minacce.

Sono presenti i seguenti tipi di avvisi per la protezione contro le minacce.

Per informazioni su una minaccia e consigli su come gestirla, cliccarne il nome all’interno dell'avviso.

In alternativa, visitare la pagina Analisi delle minacce sul sito web di Sophos. Sotto Cerca analisi delle minacce, cliccare sul link corrispondente al tipo di minaccia, e successivamente ricercare la minaccia o cercarla nell’elenco delle voci più recenti.

I rilevamenti del malware potrebbero anche essere visualizzati nell'elenco Eventi con la dicitura ML/PE-A, vedere l'articolo Spiegazione del rilevamento di ML/PE-A.

Alto

Tipo di avviso

Descrizione

Protezione in tempo reale disabilitata

La protezione in tempo reale di un computer è disattivata da più di 2,5 ore. La protezione in tempo reale deve essere sempre attiva. Il Supporto tecnico Sophos potrebbe richiederne la disattivazione per un breve periodo di tempo per poter effettuare un’indagine.

Malware non rimosso

È presente malware rilevato che non è stato possibile rimuovere dopo un periodo di 24 ore, anche se è disponibile la disinfezione automatica. Probabilmente il malware è stato rilevato da una scansione che non offre opzioni di rimozione automatica, ad es. una scansione su richiesta configurata localmente. È possibile gestire questo malware in due modi:

  • Rimozione centralizzata, pianificando una scansione nel criterio (in cui sarà abilitata la disinfezione automatica).
  • Rimozione locale con il Gestore della quarantena.

È necessaria la disinfezione manuale

È stato rilevato del malware che non è stato possibile rimuovere automaticamente, in quanto la disinfezione automatica non è disponibile. Cliccare sulla "Descrizione" nell’avviso per essere reindirizzati al sito web di Sophos, dove sarà possibile leggere consigli utili su come rimuovere la minaccia. Se si richiede assistenza, contattare il Supporto tecnico Sophos.

Malware in esecuzione non rimosso

Non è stato possibile rimuovere da un computer un programma in esecuzione che ha manifestato un comportamento malevolo o sospetto. Cliccare sulla "Descrizione" all’interno dell’avviso per maggiori informazioni sulla minaccia e su quali azioni intraprendere. Se si richiede assistenza, contattare il Supporto tecnico Sophos. Vedere Tipi di comportamenti dannosi.

Rilevato traffico dannoso

È stato rilevato traffico di rete malevolo, probabilmente diretto verso un server di comando e controllo coinvolto in un attacco botnet o di altro genere. Cliccare sulla "Descrizione" all’interno dell’avviso per maggiori informazioni sulla minaccia e su quali azioni intraprendere. Se si richiede assistenza, contattare il Supporto tecnico Sophos.

Infezione ricorrente

Un computer è stato nuovamente infettato dopo che Sophos Central ha effettuato un tentativo di rimuovere la minaccia. Il motivo potrebbe essere la presenza di componenti nascosti della minaccia che non sono stati rilevati. Potrebbe essere richiesta un’analisi approfondita della minaccia. Contattare il Supporto tecnico Sophos per ricevere assistenza.

Rilevato ransomware

È stato rilevato del ransomware, e ne è stato bloccato l'accesso al file system. Se il computer è una workstation, il ransomware viene rimosso automaticamente. È necessario procedere come segue:

  • Se occorre effettuare la disinfezione: Collocare provvisoriamente il computer in una rete dove non costituisca alcun rischio per gli altri computer. Sul computer interessato, eseguire Sophos Clean (se non è installato, scaricare il software dal nostro sito web).

    Sophos Clean può essere eseguito da Sophos Central su un server. Vedere Avvisi.

  • Se non è attivato l’invio automatico dei campioni, inviare un campione del ransomware a Sophos. Lo classificheremo, aggiornando le nostre regole: se è malevolo, Sophos Central lo bloccherà in futuro.
  • Aprire Sophos Central, selezionare Avvisi, e contrassegnare l’avviso come risolto.

È stato rilevato ransomware che attacca un computer remoto

In questo computer è stato rilevato un tentativo di cifrare file su altri computer.

L’accesso in scrittura e alle condivisioni di rete del computer è stato bloccato. Se il computer è una workstation e se l'opzione Proteggi i file di documento da ransomware (CryptoGuard) è abilitata, il ransomware viene rimosso automaticamente.

È necessario procedere come segue:

  • Assicurarsi che l'opzione Proteggi i file di documento da ransomware (CryptoGuard) sia attivata nel criterio Sophos Central. Verranno visualizzate ulteriori informazioni.
  • Se la rimozione non viene effettuata automaticamente: Collocare il computer in una rete dove non costituisca alcun rischio per gli altri computer. Sul computer interessato, eseguire Sophos Clean (se non è installato, scaricare il software dal nostro sito web).
  • Aprire Sophos Central, selezionare Avvisi, e contrassegnare l’avviso come risolto.

Medio

Tipo di avviso

Descrizione

Rilevata applicazione potenzialmente indesiderata (PUA)

È stato rilevato del software che potrebbe essere adware oppure altro software potenzialmente indesiderato. Le applicazioni potenzialmente indesiderate vengono bloccate per impostazione predefinita. L’applicazione può essere autorizzata, se si considera possa essere utile, oppure rimossa.

Autorizza PUA

Una PUA può essere autorizzata in due modi diversi, a seconda che si desideri autorizzarla su tutti i computer o solo su alcuni:

  • Nella pagina Avvisi, selezionare l’avviso e cliccare sul pulsante Autorizza PUA nella parte in alto a destra della pagina. In questo modo verranno autorizzate le PUA su tutti i computer.
  • Aggiungere la PUA alle esclusioni dalla scansione nel criterio di protezione antimalware. In questo modo la PUA verrà autorizzata solamente nei computer a cui è stato applicato il suddetto criterio.

Rimuovi PUA

Una PUA può essere rimossa in due modi:

  • Nella pagina Avvisi, selezionare l’avviso e cliccare sul pulsante Rimuovi PUA nella parte in alto a destra della pagina.
  • Effettuarne la rimozione nel Gestore quarantena del software dell’agente sul computer interessato.

La rimozione potrebbe non essere disponibile se la PUA è stata rilevata in una condivisione di rete. Ciò è dovuto al fatto che l’agente Sophos non dispone dei diritti necessari per rimuovere file situati in tale percorso.

Applicazione potenzialmente indesiderata non rimossa

Non è stato possibile rimuovere l’applicazione potenzialmente indesiderata. Potrebbe essere necessaria la disinfezione manuale. Cliccare sulla "Descrizione" nell’avviso per maggiori informazioni sull’applicazione e su quali azioni intraprendere. Se si richiede assistenza, contattare il Supporto tecnico Sophos.

Per completare la rimozione è necessaria una scansione del computer

La rimozione di una minaccia richiede una scansione completa del computer. Per effettuare la scansione di un computer, caricare la pagina Computer, cliccare sul nome del computer desiderato per aprirne la pagina dei dettagli, e successivamente cliccare sul pulsante Scansione immediata.

La scansione potrebbe richiedere del tempo. Una volta completata, verrà visualizzato un evento "Scansione 'Scansione del computer' completata", ed eventuali altri eventi di rimozione nella pagina Log & Report > Eventi. Gli avvisi generati dall’impossibilità di effettuare la disinfezione del computer verranno visualizzati nella pagina Avvisi.

Se il computer è offline, la scansione verrà eseguita quando tornerà online. Se dovesse essere già in esecuzione una scansione del computer, la nuova richiesta di scansione verrà ignorata, e si proseguirà con la scansione originale.

In alternativa è possibile eseguire la scansione localmente adoperando il software dell’agente Sophos sul computer interessato. Utilizzare l’opzione Scansione in Sophos Endpoint su un computer Windows, oppure l’opzione Scan This Mac in Sophos Anti-Virus su un Mac.

Per completare la rimozione è necessario riavviare il computer

La minaccia è stata parzialmente rimossa, ma è necessario riavviare il computer endpoint per completare la disinfezione.

Rilevato ransomware eseguito in remoto

È stato rilevato del ransomware in esecuzione su un computer remoto che effettuava il tentativo di cifrare file nelle condivisioni di rete.

L'accesso in scrittura alle condivisioni di rete è stato bloccato per l’indirizzo IP di questo computer remoto. Se il computer a cui corrisponde l’indirizzo è una workstation gestita da Sophos Central, e se è attivata l’opzione Proteggi i file di documento da ransomware (CryptoGuard), il ransomware verrà rimosso automaticamente

È necessario procedere come segue:

  • Individuare il computer su cui è in esecuzione il ransomware.
  • Se il computer è gestito da Sophos Central, verificare che nel criterio sia abilitata l’opzione Proteggi i file di documento da ransomware (CryptoGuard).
  • Se la rimozione non viene effettuata automaticamente: Collocare il computer in una rete dove non costituisca alcun rischio per gli altri computer. Sul computer interessato, eseguire Sophos Clean (se non è installato, scaricare il software dal nostro sito web).
  • Aprire Sophos Central, selezionare Avvisi, e contrassegnare l’avviso come risolto.