Come procedere con il ransomware
Questa sezione descrive cosa succede quando viene rilevato del ransomware e indica come procedere.
Se si dovesse essere sicuri che è stato rilevato un falso positivo, vedere Come procedere con i falsi positivi.
Quando viene rilevato del ransomware:
- Verifichiamo se si tratti di un’applicazione legittima, come ad es. un prodotto di cifratura di file/cartelle. Se non lo è, ne blocchiamo l’esecuzione.
- I file vengono ripristinati al loro stato pre-modifica.
- L’utente finale riceve una notifica.
- Viene generato un grafico delle minacce. Questa giuda aiuta a decidere se intraprendere o meno ulteriori azioni.
- Una scansione controlla tutti i processi in memoria, per rilevare eventuali comportamenti sospetti.
- Lo stato di integrità del dispositivo ritorna a essere verde.
Per ulteriori informazioni, vedere Avvisi.
Come procedere se viene visualizzata la dicitura “Rilevato ransomware”
Se la disinfezione deve essere effettuata comunque, procedere come segue:
- Se non è attivato l’invio automatico dei campioni, inviare un campione del ransomware a Sophos. Lo classificheremo, aggiornando le nostre regole: se è malevolo, Sophos Central lo bloccherà in futuro. Vedere Come inviare campioni di file sospetti a Sophos.
-
Collocare provvisoriamente il computer in una rete dove non costituisca alcun rischio per gli altri computer. Sul computer interessato, eseguire Sophos Clean (se non è installato, scaricare il software dal nostro sito web).
Sophos Clean può essere eseguito da Sophos Central su un server.
-
Aprire Sophos Central, selezionare Avvisi, e contrassegnare l'avviso come risolto.
Come procedere se viene visualizzata la dicitura "Rilevato ransomware eseguito in remoto"
È stato rilevato del ransomware in esecuzione su un computer remoto che effettuava il tentativo di cifrare file nelle condivisioni di rete.
L'accesso in scrittura alle condivisioni di rete è stato bloccato per l’indirizzo IP di questo computer remoto. Se il computer a cui corrisponde l'indirizzo è una workstation gestita da Sophos Central, e se è attivata l'opzione Proteggi i file di documento da ransomware (CryptoGuard), il ransomware verrà rimosso automaticamente.
È necessario procedere come segue:
- Individuare il computer su cui è in esecuzione il ransomware.
- Se il computer è gestito da Sophos Central, verificare che nel criterio sia abilitata l’opzione Proteggi i file di documento da ransomware (CryptoGuard).
- Se la rimozione non viene effettuata automaticamente: Collocare il computer in una rete dove non costituisca alcun rischio per gli altri computer. Sul computer interessato, eseguire Sophos Clean (se non è installato, scaricare il software dal nostro sito web).
- Aprire Sophos Central, selezionare Avvisi, e contrassegnare l'avviso come risolto.
Come procedere se viene visualizzata la dicitura "È stato rilevato ransomware che attacca un computer remoto"
In questo computer è stato rilevato un tentativo di cifrare file su altri computer.
L’accesso in scrittura e alle condivisioni di rete del computer è stato bloccato. Se il computer è una workstation e se l'opzione Proteggi i file di documento da ransomware (CryptoGuard) è abilitata, il ransomware viene rimosso automaticamente.
È necessario procedere come segue:
- Assicurarsi che l'opzione Proteggi i file di documento da ransomware (CryptoGuard) sia attivata nel criterio Sophos Central. Verranno visualizzate ulteriori informazioni.
- Se la rimozione non viene effettuata automaticamente: Collocare il computer in una rete dove non costituisca alcun rischio per gli altri computer. Sul computer interessato, eseguire Sophos Clean (se non è installato, scaricare il software dal nostro sito web).
- Aprire Sophos Central, selezionare Avvisi, e contrassegnare l'avviso come risolto.