Come procedere con il ransomware

Questa sezione descrive cosa succede quando viene rilevato del ransomware e indica come procedere.

Se si dovesse essere sicuri che è stato rilevato un falso positivo, vedere Come procedere con i falsi positivi.

Quando viene rilevato del ransomware:

  • Verifichiamo se si tratti di un’applicazione legittima, come ad es. un prodotto di cifratura di file/cartelle. Se non lo è, ne blocchiamo l’esecuzione.
  • I file vengono ripristinati al loro stato pre-modifica.
  • L’utente finale riceve una notifica.
  • Viene generato un caso di minaccia. Questa giuda aiuta a decidere se intraprendere o meno ulteriori azioni.
  • Viene avviata una scansione che identifica e rimuove, se presente, altro malware dal dispositivo.
  • Lo stato di integrità del dispositivo ritorna a essere verde.

Per maggiori informazioni, vedere Avvisi.

Come procedere se viene visualizzata la dicitura “Rilevato ransomware

Se la disinfezione deve essere effettuata comunque, procedere come segue:

  • Se non è attivato l’invio automatico dei campioni, inviare un campione del ransomware a Sophos. Lo classificheremo, aggiornando le nostre regole: se è malevolo, Sophos Central lo bloccherà in futuro. Vedere Come inviare campioni di file sospetti a Sophos.
  • Collocare provvisoriamente il computer in una rete dove non costituisca alcun rischio per gli altri computer. Sul computer interessato, eseguire Sophos Clean (se non è installato, scaricare il software dal nostro sito web).

    Sophos Clean può essere eseguito da Sophos Central su un server.

  • Aprire Sophos Central, selezionare Panoramica > Avvisi, e contrassegnare l’avviso come risolto.

Come procedere se viene visualizzata la dicitura “Rilevato ransomware eseguito in remoto

È stato rilevato del ransomware in esecuzione su un computer remoto che effettuava il tentativo di cifrare file nelle condivisioni di rete.

L'accesso in scrittura alle condivisioni di rete è stato bloccato per l’indirizzo IP di questo computer remoto. Se il computer a cui corrisponde l'indirizzo è una workstation gestita da Sophos Central, e se è attivata l'opzione Proteggi i file di documento da ransomware (CryptoGuard), il ransomware verrà rimosso automaticamente.

È necessario procedere come segue:

  • Individuare il computer su cui è in esecuzione il ransomware.
  • Se il computer è gestito da Sophos Central, verificare che nel criterio sia abilitata l’opzione Proteggi i file di documento da ransomware (CryptoGuard).
  • Se la rimozione non viene effettuata automaticamente: Collocare il computer in una rete dove non costituisca alcun rischio per gli altri computer. Sul computer interessato, eseguire Sophos Clean (se non è installato, scaricare il software dal nostro sito web).
  • Aprire Sophos Central, selezionare Panoramica > Avvisi, e contrassegnare l’avviso come risolto.

Come procedere se viene visualizzata la dicitura “È stato rilevato ransomware che attacca un computer remoto

In questo computer è stato rilevato un tentativo di cifrare file su altri computer.

L’accesso in scrittura e alle condivisioni di rete del computer è stato bloccato. Se il computer è una workstation e se l'opzione Proteggi i file di documento da ransomware (CryptoGuard) è abilitata, il ransomware viene rimosso automaticamente.

È necessario procedere come segue:

  • Assicurarsi che l'opzione Proteggi i file di documento da ransomware (CryptoGuard) sia attivata nel criterio Sophos Central. Verranno visualizzate ulteriori informazioni.
  • Se la rimozione non viene effettuata automaticamente: Collocare il computer in una rete dove non costituisca alcun rischio per gli altri computer. Sul computer interessato, eseguire Sophos Clean (se non è installato, scaricare il software dal nostro sito web).
  • Aprire Sophos Central, selezionare Panoramica > Avvisi, e contrassegnare l’avviso come risolto.