La Ransomware Detection di Kaseya VSA è un modulo che permette di rilevare comportamenti ascrivibili a un ransomware sui PC sui quali l’estensione è attivata.
Qui i riferimenti del modulo https://helpdesk.kaseya.com/hc/en-gb/articles/9149990576145-9-5-14-Feature-Release-17th-September-2022
Riportiamo alcune delle domande più frequenti e le relative risposte:
– Come vengono rilevati i ransomware?
Lo strumento non usa firme o confronto di hash per rilevare le anomalie, ossia non usa gli stessi strumenti di un antivirus tradizionale. Invece utilizza algoritmi di analisi comportamentale a livello di file.
– Il sistema permette di attivare manualmente o automaticamente l’isolamento del device colpito da ransomware: in cosa consiste?
Ogni processo sospetto viene stoppato e il sistema isolato dal resto della rete e da internet, pur permettendo la comunicazione verso il server VSA in modo da avere uno strumento sicuro di accesso e remediation.
– Come si rimuove l’Isolation?
Si può rimuovere in due click, semplicemente selezionando la macchina e cliccando su Stop Isolating.
– Se la rimozione non funziona?
Visto che il sistema usa una IP Security Policy, è possibile:
- lanciare mmc.exe sull’agente
- Aggiungere lo snap-in IP Security Policies;
- Inviduare e rimuovere la regola VSA-only.