Il backup e restore a misura di piccole e medie imprese

Come funziona CryptoSafeGuard di BackupAssist?

KB52054

Ultimo aggiornamento: 28 February 2018

Cosa avviene quando BackupAssist rileva un'infezione da ransomware?

CryptoSafeGuard si preoccupa di preservare i backup eseguiti con BackupAssist e lo fa attraverso due funzioni: CryptoSafeGuard Shield e CryptoSafeGuard Detector.

CryptoSafeGuard Shield protegge dall’attacco del ransomware i backup già eseguiti, impedendo a processi non autorizzati di accedere, modificare, cancellare o aggiungere elementi ai tuoi backup. Questa protezione viene attivata già con l’avvio del primo job di backup.

Il CryptoSafeGuard Shield lavora esclusivamente fra il sistema protetto e la destinazione del backup, sulla macchina su cui gira BackupAssist. Il che significa che se lo stesso target del backup viene utilizzato da altri sistemi, allora può essere vittima di ransomware. Nel caso di backup su NAS per evitare problemi di contaminazione da altri sistemi è consigliabile seguire le indicazioni di questo articolo.

CryptoSafeGuard Detector analizza la sorgente alla ricerca di file criptati che possono inquinare il backup.

Quando BackupAssist esegue un job di backup prima di ogni azione di modifica della destinazione lancia una scansione di CryptoSafeGuard Detector. Questa attività si può vedere ad esempio dalla sezione Controlla dove in tempo reale vengono mostrati tutti i passaggi del backup fino alla creazione del report (vedi immagine seguente).

Nel caso sia rilevato l’azione di un ransoware una barra rossa sotto il logo di BackupAssist evidenzierà l’infezione e inviata la notifica via SMS all’amministratore

Via mail partirà la notifica e l’invio del report con evidenziato il blocco del backup con errore BA8001

cliccando sulla barra di segnalazione una finestra riporterà i file che CryptoSafeGuard protector reputa avvelenati (cioè criptati dal ransomware)

L’utente può confermare premendo il pulsante Si che i dati sono stati veramente colpiti dal ransomware (l’azione successiva consisterà nel blocco di tutti i processi di backup), mentre con il pulsante No può inserire i file nella whitelist eliminando il falso positivo.

Se si attua il blocco dei backup nella sezione Gestione si vedranno tutte le attività di backup bloccate e il pulsante Sblocca processi servirà all’amministratore per effettuare il ripristino della normale attività dei backup.

Premendo il pulsante Sblocca processi un pop-up indicherà che per procedere occorre mettere i file in whitelist oppure eliminare tutti i file criptati evidenziali da CryptoSafeGuard.

Novità della versione 10.2.x

Opzione di scansione manuale con CryptoSafeGuard


Aggiunta una funzione di scansione manuale con CryptoSafeGuard. Ciò consente di eseguire la scansione di un intero sistema su richiesta e di inserire nella lista bianca i file prima che qualsiasi processo di backup li segnali.

Scansioni CryptoSafeGuard più veloci

La prima volta che CryptoSafeGuard viene eseguito all’interno di un processo di backup, esegue la scansione dei file modificati negli ultimi 3 mesi (le scansioni successive saranno completamente incrementali). Questo cambiamento, insieme a molti altri miglioramenti delle prestazioni nella versione 10.2, ridurrà il tempo necessario per l’esecuzione di una scansione di CryptoSafeGuard.

Periodo di grazia di CryptoSafeGuard

Per evitare che i lavori vengano bloccati prematuramente da falsi positivi dopo la scansione di CryptoSafeGuard, ogni lavoro avrà ora un periodo di grazia. Durante questo periodo qualsiasi rilevamento visualizzerà solo un avviso, anziché bloccare tutti i processi di backup, ma le notifiche SMS verranno comunque inviate. Dopo che un lavoro ha avuto 3 scansioni sicure consecutive il periodo di prova termina e tutti i rilevamenti futuri causeranno il blocco di tutti i job.

 

New call-to-action