Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Restaure los datos después de un ataque de ransomware

Colaboradores
PDF

Autonomous Ransomware Protection (ARP) crea snapshots denominadas Anti_ransomware_backup cuando detecta una amenaza potencial de ransomware. Puede usar una de estas instantáneas ARP u otra instantánea del volumen para restaurar los datos.

Acerca de esta tarea

Si el volumen tiene relaciones de SnapMirror, replique manualmente todas las copias reflejadas del volumen inmediatamente después de la restauración desde una copia de Snapshot. Si no lo hace, puede provocar copias reflejadas inutilizables que se deban eliminar y volver a crear.

Para restaurar desde una instantánea distinta de Anti_ransomware_backup la instantánea después de identificar un ataque del sistema, primero debe liberar la instantánea ARP.

Si no se informó de ningún ataque al sistema, primero debe restaurar desde la Anti_ransomware_backup instantánea y, a continuación, realizar una restauración posterior del volumen a partir de la instantánea que elija.

Pasos

Puede usar System Manager o la interfaz de línea de comandos de ONTAP para restaurar los datos.

System Manager
Restaurar después de un ataque al sistema

  1. Para restaurar desde la instantánea ARP, vaya al paso dos. Para restaurar desde una instantánea anterior, primero debe liberar el bloqueo en la instantánea ARP.

    1. Seleccione almacenamiento > volúmenes.

    2. Seleccione Seguridad y luego Ver tipos de archivos sospechosos.

    3. Marque los archivos como «posible ataque de ransomware».

    4. Seleccione Actualizar y Borrar tipos de archivos sospechosos.

  2. Mostrar las instantáneas en los volúmenes:

    Selecciona Almacenamiento > Volúmenes y, a continuación, selecciona el volumen y Copias instantáneas.

  3. Seleccione Icono de opciones de menú junto a la instantánea que desea restaurar y luego Restaurar.

Restaurar si no se identificó un ataque del sistema

  1. Mostrar las instantáneas en los volúmenes:

    Selecciona Almacenamiento > Volúmenes y, a continuación, selecciona el volumen y Copias instantáneas.

  2. Selecciónelos Icono de opciones de menú a elegir la Anti_ransomware_backup snapshot.

  3. Seleccione Restaurar.

  4. Vuelva al menú Copias de instantánea y, a continuación, elija la instantánea que desea utilizar. Seleccione Restaurar.

CLI
Restaurar después de un ataque al sistema

  1. Para restaurar desde la instantánea ARP, vaya al paso dos. Para restaurar datos de instantáneas anteriores, debe liberar el bloqueo en la instantánea ARP.

    Nota Solo es necesario liberar el SnapLock anti-ransomware antes de restaurar desde snapshots anteriores si utiliza volume snap restore el comando como se describe a continuación. Si va a restaurar datos utilizando FlexClone, SnapRestore de archivo único u otros métodos, esto no es necesario.

    Marcar el ataque como un posible ataque de ransomware (-false-positive false) y borrar archivos sospechosos (clear-suspect):
    anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false Utilice uno de los siguientes parámetros para identificar las extensiones: Número de secuencia del archivo en la lista de sospechosos
    [-extension text, … ].
    [-seq-no integer] Extensiones de archivo
    [-start-time date_time -end-time date_time] Hora de inicio y fin para el rango de archivos a borrar, con el formato “MM/DD/YYYY HH:MM:SS”.

  2. Enumere las copias Snapshot en un volumen:

    volume snapshot show -vserver <SVM> -volume <volume>

    El ejemplo siguiente muestra las copias Snapshot en vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  3. Restaure el contenido de un volumen de una copia Snapshot:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    En el ejemplo siguiente se restaura el contenido de vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
Restaurar si no se identificó un ataque del sistema

  1. Enumere las copias Snapshot en un volumen:

    volume snapshot show -vserver <SVM> -volume <volume>

    El ejemplo siguiente muestra las copias Snapshot en vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  2. Restaure el contenido de un volumen de una copia Snapshot:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    En el ejemplo siguiente se restaura el contenido de vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

  3. Repita los pasos 1 y 2 para restaurar el volumen con la snapshot que desee.

Información relacionada