Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/mdr/help/it-it/index.html?contextId=Malware

Flusso di lavoro per la correzione del ransomware

Seguire questa procedura per risolvere un attacco ransomware.

Introduzione

Avviso

Quando si risolve un attacco, è probabile che vengano rimosse le prove di come si è verificato l’attacco. Si consiglia di eseguire il backup dei sistemi colpiti e dei file residui lasciati dall’attacco. Se non si ha la certezza che i file siano sicuri, è possibile comprimerli per impedirne l’esecuzione.

Ulteriori risorse

Come utilizzare le esecuzioni automatiche di Microsoft per individuare malware non rilevato

ID evento Windows interessanti - Indagini generali/malware

Ransomware: ripristino dei dati e rimozione del ransomware

Ransomware: informazione e prevenzione

Definizione dell’estensione del problema

Per comprendere l’estensione del problema, procedere come segue:

  1. Identificare tutti gli endpoint e i server colpiti dall’attacco.

    I dispositivi colpiti si riconoscono dalla presenza di file cifrati e note di riscatto nelle loro cartelle.

    1. Se vengono individuati file cifrati e note di riscatto nelle condivisioni file, occorre verificare quale utente o dispositivo li ha creati.
    2. Assicurarsi di memorizzare diversi campioni dei file cifrati e delle note di riscatto in un percorso accessibile, in modo da poterli identificare in un secondo momento.

  2. Individuare l’account che è stato compromesso.

    Se si sa quale account è stato compromesso, è possibile scoprire la quantità totale di file, sia locali che remoti, che il ransomware ha compromesso attraverso questo dispositivo, visto che le autorizzazioni dell’account dell’utente prevedono dei limiti. Per identificare un account compromesso, procedere come segue:

    1. Trovare un file cifrato, cliccare con il pulsante destro del mouse sul file e selezionare Proprietà.
    2. Cliccare su Dettagli e cercare il proprietario del file.
    3. Prendere nota delle informazioni relative al proprietario del file.

  3. In alternativa, è possibile utilizzare una cartella per trovare informazioni sul proprietario. Per utilizzare una cartella, procedere come segue:

    1. In Esplora risorse, accedere a una cartella contenente file cifrati.

      Si consiglia di scegliere una condivisione file di rete accessibile a più utenti.

    2. Scegliere la vista Dettagli, che include colonne diverse con informazioni sui file.

    3. Cliccare con il pulsante destro del mouse sull’intestazione di una colonna e successivamente su Altro.
    4. Scorrere verso il basso e selezionare Proprietario dall’elenco, quindi cliccare su OK.

  4. Dispositivi infetti diversi possono avere account compromessi diversi. Si dovrà ripetere questa procedura su tutti i dispositivi infetti e creare un elenco degli account compromessi.

  5. Assicurarsi di prendere nota di eventuali account compromessi che hanno diritti di amministrazione (locali e di dominio).
  6. Una volta compilato l’elenco degli account, verificare quali sono le condivisioni file per cui gli account hanno accesso IN SCRITTURA. Occorrerà analizzare tutte queste condivisioni.

Limitazione dell’impatto del malware

Ora che sono stati recuperati i dati iniziali, occorre svolgere l’indagine. Prima di tutto, bisogna impedire al ransomware di cifrare altri dati. Per bloccare il ransomware, procedere come segue:

  1. Spegnere tutti i dispositivi infetti.

    Spegnere i dispositivi è l’azione che offre maggiori probabilità di mettere al sicuro i dati. Più a lungo viene eseguito un dispositivo infetto, più tempo avrà il ransomware per cifrare i file.

  2. Identificare il metodo di attacco del ransomware utilizzando come riferimento l’articolo Ransomware: come funziona un attacco prima di eseguire i test. Un’ulteriore cifratura potrebbe implicare la perdita di altri dati.

  3. Alcuni ransomware si eseguono all’avvio di un dispositivo. Creare un’immagine di un dispositivo infetto e successivamente avviare il dispositivo infetto per scoprire se i file sono ancora cifrati.

  4. Se non si riesce a stabilire quali sono i dispositivi infetti, ci si troverà di fronte a una scelta difficile. A questo punto, per salvare i dati, si dovranno spegnere tutti i dispositivi.

    Questa operazione blocca l’attacco. Si avrà ora tempo per proseguire con l’indagine.

  5. Accendere i dispositivi uno alla volta per lavorarci sopra. Rimuovere il malware da un dispositivo e passare a quello successivo.

    Consigliamo di contattarci e acquistare il nostro servizio Managed Detection and Response. È un team composto da esperti altamente qualificati, in grado di risolvere questo tipo di problemi. Possono anche svolgere analisi delle cause originarie dell’attacco e offrire consulenza continuativa sulla sicurezza.

Identificazione dell’autore del ransomware

Sapere chi è l’autore del ransomware è molto utile per ottenere informazioni sull’impatto previsto. Permette di stabilire quali file sono stati cifrati e qual è il vettore di infezione più probabile (ovvero come si è infiltrato un cybercriminale); inoltre, aiuta a capire se si sta affrontando un potenziale problema di persistenza. Può anche aiutare a prevenire la reinfezione. Conservando la nota di riscatto trovata sul dispositivo infetto o alcuni campioni dei file cifrati, è possibile identificare la gang di malware che ha lanciato l’attacco.

Per identificare l’autore del malware, procedere come segue:

  1. Caricare la nota di riscatto o i campioni su https://id-ransomware.malwarehunterteam.com/.

    Nota

    Questo non è un sito supportato da Sophos.

Come migliorare la protezione

Per migliorare la propria protezione, procedere come segue:

  1. Se non si utilizza ancora Sophos Central con Intercept X ed EDR, è necessario eseguire la migrazione.

    È la nostra linea di soluzioni di sicurezza all’avanguardia, che offre livelli superiori di protezione dalle minacce.

    • Contiene CryptoGuard, che difende i sistemi dal ransomware.
    • Per eventuali domande sul motivo per cui questo è fondamentale o su come eseguire la migrazione, contattare Sophos. Per ricevere assistenza con la migrazione, è possibile richiedere l’intervento del nostro team Rapid Response.

  2. Verificare di seguire le nostre best practice per le impostazioni dei criteri di protezione dalle minacce. Sono importanti, perché l’ambiente è stato recentemente compromesso. È necessario incrementare i livelli di sicurezza per prevenire la reinfezione. Per maggiori informazioni, consultare queste pagine:

  3. Assicurarsi che a tutti i dispositivi siano state applicate le più recenti patch disponibili.

    Questo accorgimento aiuta a difendere i sistemi da molti exploit, poiché nei suoi aggiornamenti Microsoft risolve molte vulnerabilità.

  4. Effettuare l’upgrade di tutti i dispositivi che utilizzano versioni obsolete dei sistemi operativi, ad esempio Windows Server 2003, Windows 2008 non R2, Windows 7 o Windows XP.

    I sistemi operativi Windows che non sono ufficialmente supportati da Microsoft presentano vulnerabilità di sicurezza per cui non esistono patch.

  5. Verificare di non avere dispositivi vulnerabili direttamente esposti a Internet.

    Nota

    Di solito, le porte SMB 445, RDP 3389 o altre sono aperte. Gli hacker possono sfruttare queste porte.

    Occorre analizzare i dispositivi per sapere quali porte sono aperte e ridurre così i rischi. Per svolgere un controllo sui dispositivi, procedere segue:

    1. È possibile utilizzare Shodan.io o Censys.io con gli IP pubblici per confermare quali porte sono visualizzabili all’esterno del proprio ambiente.
    2. Se ci sono dispositivi esposti ad ambienti esterni o porte aperte senza che sia necessario, modificare i criteri del firewall per ridurre il grado di esposizione.

Ripristino dei dati e delle normali attività operative

Ora che tutti i dispositivi sono puliti e protetti con Sophos Central Intercept X Advanced with EDR, è possibile riprendere le normali attività operative.

Per farlo, procedere come segue:

  1. Ripristinare i dati dai backup.

    Nota

    Se si desidera eseguire un’analisi della causa originaria dell’attacco, occorrono backup e immagini dei dispositivi infetti. Il ripristino dei dispositivi elimina queste prove e rende impossibile l’analisi delle cause all’origine del problema.

    1. Assicurarsi di utilizzare backup dei dati che sono stati eseguiti prima dell’infezione.
    2. Accertarsi di poter accedere ai dati nei file dei backup.

  2. Riportare on-line i dispositivi.

    1. Se il sistema operativo è danneggiato o se non si hanno abbastanza backup dei dispositivi infetti, occorre ripararli o ricondizionarli.
    2. Seguire i processi di riparazione e ricondizionamento forniti dall’azienda produttrice del sistema operativo.

  3. Eseguire test per verificare che i dispositivi funzionino normalmente. Per farlo, procedere come segue:

    1. Accertarsi che possano accedere alle risorse necessarie.
    2. Verificare che le applicazioni funzionino correttamente.
    3. Svolgere eventuali altri test necessari per assicurarsi che i dispositivi stiano funzionando correttamente.

  4. Autorizzare gli utenti ad accedere ai dispositivi.

Analisi delle cause all’origine dei problemi

Per proteggere il proprio ambiente informatico in futuro, è necessario sapere come ha avuto origine l’infezione. Questo permette di identificare i difetti nella progettazione e nella configurazione della rete o dell’ambiente, per consentire di introdurre miglioramenti in futuro. A tal fine, eseguire un’analisi delle cause originarie dell’attacco può essere di aiuto.

Per eseguire un’analisi delle cause all’origine del problema, occorre avere backup e immagini dei dispositivi acquisite quando erano infetti.

Video sulla correzione del ransomware

Il video descrive questo flusso di lavoro.