Knowledge Base

L'archivio documentale di supporto ai prodotti Achab.

KB52054 Cosa avviene quando BackupAssist rileva un'infezione da ransomware?
Questo articolo è valido anche per il prodotto BackupAssist Desktop

Ultimo aggiornamento: 04/09/2017

Come funziona CryptoSafeGuard di BackupAssist?

CryptoSafeGuard si preoccupa di preservare i backup eseguiti con BackupAssist e lo fa attraverso due funzioni: CryptoSafeGuard Protector e CryptoSafeGuard Detector.

CryptoSafeGuard Protector protegge dall'attacco del ransomware i backup già eseguiti, impedendo a processi non autorizzati di accedere, modificare, cancellare o aggiungere elementi ai tuoi backup. Questa protezione viene attivata già con l'avvio del primo job di backup.

Il CryptoSafeGuard Protector lavora esclusivamente fra il sistema protetto e la destinazione del backup, sulla macchina su cui gira BackupAssist. Il che significa che se lo stesso target del backup viene utilizzato da altri sistemi, allora può essere vittima di ransomware. Nel caso di backup su NAS per evitare problemi di contaminazione da altri sistemi è consigliabile seguire le indicazioni di questo articolo.

CryptoSafeGuard Detector analizza la sorgente alla ricerca di file criptati che possono inquinare il backup.

Quando BackupAssist esegue un job di backup prima di ogni azione di modifica della destinazione lancia una scansione di CryptoSafeGuard Detector. Questa attività si può vedere ad esempio dalla sezione Controlla dove in tempo reale vengono mostrati tutti i passaggi del backup fino alla creazione del report (vedi immagine seguente).



Nel caso sia rilevato l'azione di un ransoware una barra rossa sotto il logo di BackupAssist evidenzierà l'infezione e inviata la notifica via SMS all'amministratore



Via mail partirà la notifica e l'invio del report con evidenziato il blocco del backup con errore BA8001



cliccando sulla barra di segnalazione una finestra riporterà i file che CryptoSafeGuard protector reputa avvelenati (cioè criptati dal ransomware)



L'utente può confermare premendo il pulsante Si che i dati sono stati veramente colpiti dal ransomware (l'azione successiva consisterà nel blocco di tutti i processi di backup), mentre con il pulsante No può inserire i file nella whitelist eliminando il falso positivo.



Se si attua il blocco dei backup nella sezione Gestione si vedranno tutte le attività di backup bloccate e il pulsante Sblocca processi servirà all'amministratore per effettuare il ripristino della normale attività dei backup.




Premendo il pulsante Sblocca processi un pop-up indicherà che per procedere occorre mettere i file in whitelist oppure eliminare tutti i file criptati evidenziali da CryptoSafeGuard.

Questo articolo ti è stato utile?

Lasciaci un feedback

Hai trovato delle inesattezze, vorresti fare delle integrazioni all'articolo o anche solo darci un tuo parere? Scrivici liberamente utilizzando il modulo sottostante.

 

Le tue informazioni non verranno pubblicate, ma inviate privatamente al responsabile della Knowledge Base.