Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Restaura los datos de las instantáneas ARP de ONTAP después de un ataque de ransomware

Colaboradores netapp-dbagwell netapp-aherbin netapp-ahibbard netapp-forry netapp-aaron-holt
PDF

La Protección Autónoma contra Ransomware (ARP) crea instantáneas para protegerse contra una posible amenaza de ransomware. Puede usar una de estas instantáneas de ARP u otra instantánea de su volumen para restaurar los datos.

Acerca de esta tarea

El ARP crea instantáneas con uno de los siguientes nombres antepuestos:

  • Anti_ransomware_periodic_backup : Se utiliza en ONTAP 9.17.1 y versiones posteriores para instantáneas creadas a intervalos regulares. Por ejemplo, Anti_ransomware_periodic_backup.2025-06-01_1248 .

  • Anti_ransomware_backup : Se utiliza en ONTAP 9.16.1 y versiones anteriores con instantáneas creadas en respuesta a anomalías. Por ejemplo, Anti_ransomware_backup.2022-12-20_1248 .

Para restaurar desde una instantánea distinta a la Anti_ransomware Instantánea después de identificar un ataque al sistema, primero debe publicar la instantánea ARP.

Si no se informa de ningún ataque al sistema, primero debe restaurar desde el Anti_ransomware instantánea y luego complete una restauración posterior del volumen a partir de la instantánea que elija.

Nota Si el volumen protegido por ARP forma parte de una relación SnapMirror , deberá actualizar manualmente todas las copias reflejadas del volumen después de restaurarlo desde una instantánea. Si omite este paso, las copias reflejadas podrían quedar inutilizables y será necesario eliminarlas y volver a crearlas.
Antes de empezar

"Debes marcar el ataque como un posible ataque de ransomware" antes de restaurar datos desde una instantánea.

Pasos

Puede usar System Manager o la interfaz de línea de comandos de ONTAP para restaurar los datos.

System Manager
Restaurar después de un ataque al sistema

  1. Para restaurar desde la instantánea ARP, vaya al paso dos. Para restaurar desde una instantánea anterior, primero debe liberar el bloqueo en la instantánea ARP.

    1. Seleccione almacenamiento > volúmenes.

    2. Seleccione Seguridad y luego Ver tipos de archivos sospechosos.

    3. Marque los archivos como «posible ataque de ransomware».

    4. Seleccione Actualizar y Borrar tipos de archivos sospechosos.

  2. Mostrar las instantáneas en los volúmenes:

    Selecciona Almacenamiento > Volúmenes y, a continuación, selecciona el volumen y Copias instantáneas.

  3. Seleccione Icono de opciones de menú junto a la instantánea que desea restaurar y luego Restaurar.

Restaurar si no se identificó un ataque del sistema

  1. Mostrar las instantáneas en los volúmenes:

    Selecciona Almacenamiento > Volúmenes y, a continuación, selecciona el volumen y Copias instantáneas.

  2. Seleccionar Icono de opciones de menú Luego elige el Anti_ransomware instantánea.

  3. Seleccione Restaurar.

  4. Vuelva al menú Copias de instantánea y, a continuación, elija la instantánea que desea utilizar. Seleccione Restaurar.

CLI
Restaurar después de un ataque al sistema

Para restaurar desde la instantánea ARP, vaya al paso dos. Para restaurar datos de instantáneas anteriores, debe liberar el bloqueo en la instantánea ARP.

Nota Solo es necesario liberar el SnapLock anti-ransomware antes de restaurar desde snapshots anteriores si utiliza volume snapshot restore el comando como se describe a continuación. Si va a restaurar datos utilizando FlexClone, SnapRestore de archivo único u otros métodos, esto no es necesario.

  1. Marcar el ataque como un posible ataque de ransomware (-false-positive false ) y borrar archivos sospechosos (clear-suspect ):

    anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

    Utilice uno de los siguientes parámetros para identificar las extensiones:

    • [-seq-no integer] :Número de secuencia del archivo en la lista de sospechosos.

    • [-extension text, … ] : Extensiones de archivo

    • [-start-time date_time -end-time date_time] :Horas de inicio y finalización para el rango de archivos que se borrarán, en el formato "MM/DD/AAAA HH:MM:SS".

  2. Enumere las snapshots en un volumen:

    volume snapshot show -vserver <SVM> -volume <volume>

    El siguiente ejemplo muestra la snapshot en vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  3. Restaure el contenido de un volumen a partir de una copia de Snapshot:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    El siguiente ejemplo restaura el contenido de vol1 :

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
Restaurar si no se identificó un ataque del sistema

  1. Enumere las snapshots en un volumen:

    volume snapshot show -vserver <SVM> -volume <volume>

    El siguiente ejemplo muestra la snapshot en vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  2. Restaure el contenido de un volumen a partir de una copia de Snapshot:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    El siguiente ejemplo restaura el contenido de vol1 :

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

Obtenga más información sobre volume snapshot en el "Referencia de comandos del ONTAP".

Información relacionada