Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=ransomware

Come procedere con il ransomware

Questa sezione descrive cosa succede quando viene rilevato del ransomware e indica come procedere.

Se si dovesse essere sicuri che è stato rilevato un falso positivo, vedere Come procedere con i falsi positivi.

Quando viene rilevato del ransomware:

  • Verifichiamo se si tratti di un’applicazione legittima, come ad es. un prodotto di cifratura di file/cartelle. Se non lo è, ne blocchiamo l’esecuzione.
  • I file vengono ripristinati al loro stato pre-modifica.
  • L’utente finale riceve una notifica.
  • Viene generato un grafico delle minacce. Questa giuda aiuta a decidere se intraprendere o meno ulteriori azioni.
  • Una scansione controlla tutti i processi in memoria, per rilevare eventuali comportamenti sospetti.
  • Lo stato di integrità del dispositivo ritorna a essere verde.

Per ulteriori informazioni, vedere Avvisi.

Come procedere se viene visualizzata la dicitura “Rilevato ransomware”

Se non è ancora stata effettuata la rimozione, inviare un campione del ransomware a Sophos. Vedere Come inviare campioni di file sospetti a Sophos.

Lo classificheremo e aggiorneremo le nostre regole. Se è pericoloso, Sophos Central lo bloccherà in futuro.

Come procedere se viene visualizzata la dicitura "Rilevato ransomware eseguito in remoto"

È stato rilevato del ransomware in esecuzione su un computer remoto che effettuava il tentativo di cifrare file nelle condivisioni di rete.

L'accesso in scrittura alle condivisioni di rete è stato bloccato per l’indirizzo IP di questo computer remoto. Se il computer a cui corrisponde l'indirizzo è una workstation gestita da Sophos Central, e se è attivata l'opzione Proteggi i file di documento da ransomware (CryptoGuard), il ransomware verrà rimosso automaticamente.

È necessario procedere come segue:

  1. Individuare il computer su cui è in esecuzione il ransomware.
  2. Se il computer è gestito da Sophos Central, verificare che nel criterio sia abilitata l’opzione Proteggi i file di documento da ransomware (CryptoGuard).

  3. Inviare un campione del ransomware a Sophos. Vedere Come inviare campioni di file sospetti a Sophos.

    Lo classificheremo e aggiorneremo le nostre regole. Se è pericoloso, Sophos Central lo bloccherà in futuro.

Come procedere se viene visualizzata la dicitura "È stato rilevato ransomware che attacca un computer remoto"

In questo computer è stato rilevato un tentativo di cifrare file su altri computer.

L’accesso in scrittura e alle condivisioni di rete del computer è stato bloccato. Se il computer è una workstation e se l'opzione Proteggi i file di documento da ransomware (CryptoGuard) è abilitata, il ransomware viene rimosso automaticamente.

È necessario procedere come segue:

  1. Assicurarsi che l'opzione Proteggi i file di documento da ransomware (CryptoGuard) sia attivata nel criterio Sophos Central. Verranno visualizzate ulteriori informazioni.

  2. Inviare un campione del ransomware a Sophos. Vedere Come inviare campioni di file sospetti a Sophos.

    Lo classificheremo e aggiorneremo le nostre regole. Se è pericoloso, Sophos Central lo bloccherà in futuro.