Wiederherstellung von Daten nach einem Ransomware-Angriff
Änderungen vorschlagen
PDFs
Autonomous Ransomware Protection (ARP) erstellt Snapshots, die bei der Erkennung einer potenziellen Ransomware-Bedrohung benannt Anti_ransomware_backup sind. Sie können einen dieser ARP Snapshots oder einen anderen Snapshot Ihres Volumes verwenden, um Daten wiederherzustellen.
Wenn das Volume über SnapMirror-Beziehungen verfügt, replizieren Sie alle gespiegelten Kopien des Volumes sofort nach der Wiederherstellung von einem Snapshot manuell. Dadurch können nicht nutzbare Spiegelkopien erstellt werden, die gelöscht und neu erstellt werden müssen.
Um nach der Erkennung eines Systemangriffs eine andere Snapshot-Wiederherstellung als den Anti_ransomware_backup Snapshot durchzuführen, müssen Sie zuerst den ARP-Snapshot freigeben.
Wenn kein Systemangriff gemeldet wurde, müssen Sie zuerst vom Snapshot wiederherstellen Anti_ransomware_backup und dann eine nachfolgende Wiederherstellung des Volumes vom Snapshot Ihrer Wahl durchführen.
Die Wiederherstellung von Daten kann mit System Manager oder der ONTAP CLI erfolgen.
-
fahren Sie mit Schritt 2 fort, um die Wiederherstellung aus dem ARP-Snapshot durchzuführen. Zum Wiederherstellen aus einem früheren Snapshot müssen Sie zuerst die Sperre des ARP-Snapshots freigeben.
-
Wählen Sie Storage > Volumes.
-
Wählen Sie Sicherheit und dann vermutete Dateitypen anzeigen.
-
Markieren Sie die Dateien als „potenzieller Ransomware-Angriff“.
-
Wählen Sie Update und Verdächtige Dateitypen löschen.
-
-
Snapshots in Volumes anzeigen:
Wählen Sie Storage > Volumes, dann das Volume und Snapshot Copies aus.
-
Wählen Sie
neben dem Snapshot, den Sie wiederherstellen möchten, dann Wiederherstellen.
-
Snapshots in Volumes anzeigen:
Wählen Sie Storage > Volumes, dann das Volume und Snapshot Copies aus.
-
Wählen
Sie sie aus, wählen Sie den Snapshot aus Anti_ransomware_backup. -
Wählen Sie Wiederherstellen.
-
Kehren Sie zum Menü Snapshot-Kopien zurück, und wählen Sie dann den gewünschten Snapshot aus. Wählen Sie Wiederherstellen.
-
fahren Sie mit Schritt 2 fort, um die Wiederherstellung aus dem ARP-Snapshot durchzuführen. Um Daten aus früheren Snapshots wiederherzustellen, müssen Sie die Sperre für den ARP-Snapshot freigeben.
Es ist nur notwendig, die Anti-Ransomware-SnapLock vor der Wiederherstellung aus früheren Snapshots freizugeben, wenn Sie den Befehl wie unten beschrieben verwenden volume snap restore. Wenn Sie Daten mit FlexClone, Single File Snap Restore oder anderen Methoden wiederherstellen, ist dies nicht erforderlich.Markieren Sie den Angriff als einen möglichen Ransomware-Angriff (
-false-positive false) und löschen (clear-suspect`Sie verdächtige Dateien ):Verwenden Sie einen der folgenden Parameter, um die Erweiterungen zu identifizieren:
`anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false
[-seq-no integer]Sequenznummer der Datei in der verdächtigen Liste.
[-extension text, … ]Dateierweiterungen
[-start-time date_time -end-time date_time]Start- und Endzeiten für den zu lötenden Dateibereich im Format „MM/TT/JJJJ HH:MM:SS“. -
Listen Sie die Snapshot Kopien in einem Volume auf:
volume snapshot show -vserver <SVM> -volume <volume>Im folgenden Beispiel werden die Snapshot Kopien in gezeigt
vol1:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
Stellen Sie den Inhalt eines Volumes aus einer Snapshot Kopie wieder her:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>Das folgende Beispiel stellt den Inhalt von wieder her
vol1:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
Listen Sie die Snapshot Kopien in einem Volume auf:
volume snapshot show -vserver <SVM> -volume <volume>Im folgenden Beispiel werden die Snapshot Kopien in gezeigt
vol1:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
Stellen Sie den Inhalt eines Volumes aus einer Snapshot Kopie wieder her:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>Das folgende Beispiel stellt den Inhalt von wieder her
vol1:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
Wiederholen Sie die Schritte 1 und 2, um das Volume mithilfe des Desire-Snapshots wiederherzustellen.