KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
× Non sei ancora nostro cliente TSplus? Diventa Partner CoreTech e visita il nostro configuratore prezzi

TSplus Advanced Security – Protezione Ransomware

TSplus Advanced Security – Protezione Ransomware

La protezione dal ransomware implementata in TSplus Advanced Security consente di RILEVARE, BLOCCARE e PREVENIRE in modo efficiente gli attacchi di tipo ransomware, vale a dire azioni malevole che “sequestrano” o criptano i dati delle macchine attaccate rendendoli nuovamente disponibili solo dietro il pagamento di un riscatto. TSplus Advanced Security reagisce non appena rileva il ransomware nella vostra sessione di accesso remoto.

Lo strumento è capace di analisi sia statica che comportamentale: l’analisi statica consente al software di reagire immediatamente quando il nome di un'estensione viene modificato, mentre l’analisi comportamentale esamina come un programma interagirà con i file e rileverà un nuovo ceppo di ransomware.

Potete abilitare la protezione dall’interfaccia utente di TSplus Advanced Security, accedendo alla sezione RANSOMWARE nel caso della modalità Lite ovvero facendo clic sulla voce di menu RANSOMWARE del menu di sinistra nella modalità Expert; accedete così alla pagina proposta nell’immagine seguente, che mostra lo stato della protezione. Nel caso dell’esempio la protezione è disabilitata (c’è il simbolo della X rossa cerchiata).

Notate che la voce di menù RANSOMWARE apre un sottomenù contenente tre voci: Overview, Snapshots e Quarantine.

La prima voce in alto (la vedete nel riquadro blu nell’immagine qui sopra) è “Ransomware protection is disabled…” con la x cerchiata se la protezione disabilitata, ovvero “Ransomware protection is enabled…” con la spunta verde se la protezione è attualmente attiva. Ogni volta che vi fate clic invertite lo stato, quindi se è disabilitata la abilitate e viceversa.

Quando cliccate, vi appare una finestra di dialogo come quella proposta nell’immagine seguente, dove il programma vi chiede di confermare l’attivazione; per farlo, cliccate sul pulsante “Enable Ransomware Protection” che si trova in basso a destra.

 

Periodo di apprendimento della protezione ransomware di TSplus

Dopo aver abilitato la protezione ransomware, il periodo di apprendimento viene attivato automaticamente; tale periodo serve ad addestrare la protezione a riconoscere comportamenti che possono essere sospetti, secondo il principio dell’analisi comportamentale. Durante il periodo di apprendimento, tutti i programmi rilevati dalla funzione Protezione da ransomware saranno considerati falsi positivi e potranno riprenderne l'esecuzione. I programmi rilevati come falsi positivi verranno automaticamente aggiunti all’elenco dei programmi consentiti.
Questa funzione consente di configurare la Ransomware Protection su un server di produzione senza interromperne l'attività. Vi consigliamo di iniziare impostando un periodo di apprendimento di 5 giorni per identificare tutte le applicazioni aziendali legittime.

L’attivazione del periodo di apprendimento è segnalata dal messaggio che vedete per primo nell’immagine qui sotto e che permane fino al termine del periodo stesso.

 

Notate che se interrompete il periodo di apprendimento, la protezione dai ransomware verrà disattivata; in tal caso fate clic sul pulsante “Ransomware protection is disabled…” per riattivare il periodo di apprendimento (immagine seguente).

 

Banner


Funzionamento della protezione da ransomware

La protezione da ransomware implementata in TSplus Advanced Security scansiona rapidamente le unità a disco rigido e visualizza i file o i programmi responsabili, oltre a fornire un elenco degli elementi infetti. TSplus Advanced Security interrompe automaticamente l'attacco e mette in quarantena i programmi insieme ai file crittografati prima del suo intervento.

  

Solo l'amministratore può autorizzarli, inserendo nella riga inferiore il percorso del programma desiderato e facendo clic sul pulsante Add (immagine seguente).



TSplus Advanced Security - Report protezione ransomware

TSplus Advanced Security previene eventi pericolosi per i vostri sistemi, i dati e l’efficienza aziendale, rimuovendo il ransomware in una fase iniziale, ovvero prima che possa iniziare a crittografare i dati.
L'amministratore ha accesso alle informazioni relative all'origine di ciascun attacco sventato e ai processi in esecuzione e dall’analisi di queste informazioni può imparare ad anticipare queste minacce. Le informazioni del caso vengono fornite da TSplus Advanced Security cliccando sulla voce Overview del sottomenù RANSOMWARE accessibile dal menù di sinistra dell’interfaccia utente in modalità Expert. Un esempio della pagina Overview è proposto nell’immagine seguente.

 

Notate che la protezione ransomware osserva come i programmi interagiscono con i file di sistema e personali. Per garantire un maggiore livello di protezione, Ransomware Protection crea file esca nelle cartelle chiave in cui il ransomware inizia spesso il suo attacco, pertanto, alcuni file nascosti potrebbero essere visualizzati nel desktop e nelle cartelle dei documenti degli utenti, nonché in altre posizioni. Quando rileva un comportamento dannoso, interrompe immediatamente il ransomware (o chiede se l’utente registrato è un amministratore). La protezione ransomware utilizza tecniche di rilevamento del comportamento puro e non si basa sulle firme dei malware, il che le consente di intercettare anche ransomware che non sono ancora noti né inseriti nei database di riferimento.

Aggiungere una configurazione SMTP - Avvisi e-mail

La protezione ransomware prevede la possibilità di configurare le vostre impostazioni SMTP in modo che TSplus Advanced Security vi invii degli avvisi per e-mail allo scopo di evidenziare importanti eventi di sicurezza; le impostazioni del caso si eseguono facendo clic sul pulsante che, nella pagina Overview, si trova sotto quello di attivazione della protezione ransomware (immagine seguente).

 

 

Banner

Una volta che avete cliccato su questo pulsante vi trovate di fronte la finestra di dialogo proposta nell’immagine seguente, la quale riporta le eventuali impostazioni SMTP esistenti, ovvero ha tutti i campi liberi.

 

  
In questa finestra dovete immettere il nome host SMTP, la porta SMTP e quindi porre la spunta sulla casella Use SSL; tenete presente che se desiderate utilizzare il protocollo SSL dovete modificare la porta SMTP predefinita, cambiandola da 25 a 465.

Scendendo nella finestra di dialogo, dovete immettere il nome utente e la password SMTP, nonché gli indirizzi del mittente e del destinatario.
Le impostazioni e-mail possono essere convalidate inviando un test durante il salvataggio delle impostazioni SMTP.

Snapshot della protezione ransomware

Gli snapshot sono delle istantanee dello stato del sistema catturati dalla protezione ransomware; quelli eseguiti sono visibili nella finestra Snapshot, come esemplificato nell’immagine seguente, accessibile cliccando nella voce Snapshot del sottomenù che si apre cliccando sulla voce di menù RANSOMWARE.




L'elenco può essere aggiornato facendo clic sul pulsante corrispondente collocato in alto sopra il riquadro contenente l’elenco delle istantanee, ossia Refresh. Ogni elemento può essere ripristinato o rimosso mediante i pulsanti, rispettivamente, Restore e Remove, anch’essi collocati sopra il riquadro.


Quarantena della protezione ransomware

La protezione ransomware di TSplus Advanced Security mette in quarantena i programmi e le applicazioni il cui comportamento fa sospettare l’esistenza di un attacco ransomware. I programmi in quarantena sono visibili nella finestra che si apre cliccando su RANSOMWARE > Quarantine (immagine seguente). Il riquadro contiene l’elenco delle applicazioni poste in quarantena.

Ogni elemento può essere ripristinato o rimosso con i pulsanti, rispettivamente, Restore Program e Remove Program(s) collocati subito sopratale riquadro..

Estensioni file ignorate dalla protezione ransomware

La protezione ransomware ignora, per impostazione predefinita, file la cui estensione appartiene a una lista proposta qui di seguito; tali file non vengono utilizzati per rilevare possibili azioni dannose e non vengono salvati quando vengono modificati. Lo scopo di tale funzionalità è di escludere qualsiasi operazione su file di grandi dimensioni o irrilevanti (come, ad esempio, i file di registro).

  • sys
  • dll
  • exe
  • tmp
  • ~tmp
  • temp
  • cache
  • lnk
  • 1
  • 2
  • 3
  • 4
  • 5
  • LOG1
  • LOG2
  • customDestinations-ms
  • log
  • wab~
  • vmc
  • vhd
  • vhdx
  • vdi
  • vo1
  • vo2
  • vsv
  • vud
  • iso
  • dmg
  • sparseimage
  • cab
  • msi
  • mui
  • dl_
  • wim
  • ost
  • o
  • qtch
  • ithmb
  • vmdk
  • vmem
  • vmsd
  • vmsn
  • vmss
  • vmx
  • vmxf
  • menudata
  • appicon
  • appinfo
  • pva
  • pvs
  • pvi
  • pvm
  • fdd
  • hds
  • drk
  • mem
  • nvram
  • hdd
  • pk3
  • pf
  • trn
  • automaticDestinations-ms

Estensione dei file di backup

L’estensione del file utilizzata per salvare i file modificati è snapshot. Il driver vieta qualsiasi azione di modifica o eliminazione su questi file che esuli dal servizio TSplus Advanced Security. L'arresto del servizio comporta l'eliminazione dei file di backup È comunque possibile eliminare questi file manualmente ed allo scopo è necessario scaricare temporaneamente il driver.

File di backup e Configurazione

Per impostazione predefinita, la directory dei file salvati si trova nella directory di installazione di TSplus Advanced Security ed è denominata "snapshot". Tuttavia, è possibile definire un'altra posizione per questa directory. Ciò può consentire all’amministratore di definire una directory situata su un disco più veloce (SSD) o su un disco più grande in base alle proprie esigenze. Il percorso della directory di backup non deve essere un percorso UNC, sotto forma di:

\\\\

Consigliamo di aggiungere l’utility di backup nella Whitelist.