Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Restaure los datos después de un ataque de ransomware

Colaboradores
PDF

Autonomous Ransomware Protection (ARP) crea copias Snapshot denominadas Anti_ransomware_backup cuando detecta una posible amenaza de ransomware. Puede usar una de estas copias Snapshot de ARP u otra copia Snapshot del volumen para restaurar los datos.

Acerca de esta tarea

Si el volumen tiene relaciones de SnapMirror, replique manualmente todas las copias de reflejo del volumen inmediatamente después de restaurar desde una copia de Snapshot. Si no lo hace, puede provocar copias reflejadas inutilizables que se deban eliminar y volver a crear.

Para restaurar desde una copia Snapshot que no sea la Anti_ransomware_backup Snapshot Después de identificar un ataque del sistema, primero debe liberar la instantánea ARP.

Si no se ha informado de ningún ataque al sistema, primero debe restaurar desde el Anti_ransomware_backup Y luego complete una restauración posterior del volumen de la copia Snapshot que elija.

Pasos

Puede usar System Manager o la interfaz de línea de comandos de ONTAP para restaurar los datos.

System Manager
Restaurar después de un ataque al sistema

  1. Para restaurar desde la instantánea ARP, vaya al paso dos. Para restaurar desde una copia snapshot anterior, primero debe liberar el bloqueo en la instantánea ARP.

    1. Seleccione almacenamiento > volúmenes.

    2. Seleccione Seguridad y luego Ver tipos de archivos sospechosos

    3. Marque los archivos como "False positive" .

    4. Seleccione Actualizar y Borrar tipos de archivos sospechosos

  2. Mostrar las copias Snapshot en los volúmenes:

    Selecciona Almacenamiento > Volúmenes y, a continuación, selecciona el volumen y Copias instantáneas.

  3. Seleccione Opción de menú Junto a la copia Snapshot que desea restaurar, luego Restaurar.

Restaurar si no se identificó un ataque del sistema

  1. Mostrar las copias Snapshot en los volúmenes:

    Selecciona Almacenamiento > Volúmenes y, a continuación, selecciona el volumen y Copias instantáneas.

  2. Seleccione Opción de menú ellos eligen el Anti_ransomware_backup Snapshot.

  3. Seleccione Restaurar.

  4. Vuelva al menú Copias de instantánea y, a continuación, elija la copia de instantánea que desee utilizar. Seleccione Restaurar.

CLI
Restaurar después de un ataque al sistema

  1. Para restaurar desde la copia snapshot de ARP, vaya al paso dos. Para restaurar datos de copias snapshot anteriores, debe liberar el bloqueo de la instantánea ARP.

    Nota Solo es necesario liberar la SnapLock antiransomware antes de restaurar desde copias de Snapshot anteriores si utiliza el volume snap restore comando como se describe a continuación. Si va a restaurar datos utilizando Flex Clone, Single File Snap Restore u otros métodos, esto no es necesario.

    Marcar el ataque como «falso positivo» y «claro sospechoso»:
    anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
    Utilice uno de los siguientes parámetros para identificar las extensiones:
    [-seq-no integer] Número de secuencia del archivo en la lista de sospechosos.
    [-extension text, … ] Extensiones de archivo
    [-start-time date_time -end-time date_time] Horas de inicio y finalización del intervalo de archivos que se van a borrar, con el formato "MM/DD/AAAA HH:MM:SS".

  2. Enumere las copias Snapshot en un volumen:

    volume snapshot show -vserver SVM -volume volume

    El ejemplo siguiente muestra las copias Snapshot en vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	 vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  3. Restaure el contenido de un volumen de una copia Snapshot:

    volume snapshot restore -vserver SVM -volume volume -snapshot snapshot

    En el ejemplo siguiente se restaura el contenido de vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
Restaurar si no se identificó un ataque del sistema

  1. Enumere las copias Snapshot en un volumen:

    volume snapshot show -vserver SVM -volume volume

    El ejemplo siguiente muestra las copias Snapshot en vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	 vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  2. Restaure el contenido de un volumen de una copia Snapshot:

    volume snapshot restore -vserver SVM -volume volume -snapshot snapshot

    En el ejemplo siguiente se restaura el contenido de vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

  3. Repita los pasos 1 y 2 para restaurar el volumen con la copia Snapshot que desee.

Más información