Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Restaura los datos de las instantáneas ARP de ONTAP después de un ataque de ransomware

Colaboradores netapp-dbagwell netapp-aherbin netapp-ahibbard netapp-forry netapp-aaron-holt
PDF

Autonomous Ransomware Protection (ARP) crea instantáneas para proteger frente a una posible amenaza de ransomware. Puedes usar las instantáneas de ARP u otra instantánea de tu volumen para restaurar datos.

Acerca de esta tarea

Dependiendo de la posible situación de ataque, restaurarás los datos de una de estas maneras:

ARP crea instantáneas con uno de los siguientes nombres antepuestos:

  • Anti_ransomware_periodic_backup : Se utiliza en ONTAP 9.17.1 y versiones posteriores para instantáneas creadas a intervalos regulares. Por ejemplo, Anti_ransomware_periodic_backup.2025-06-01_1248 .

  • Anti_ransomware_attack_backup:Se utiliza en ONTAP 9.17.1 y versiones posteriores para instantáneas creadas en respuesta a anomalías. Por ejemplo, Anti_ransomware_attack_backup.2025-08-25_1248 .

  • Anti_ransomware_backup : Se utiliza en ONTAP 9.16.1 y versiones anteriores con instantáneas creadas en respuesta a anomalías. Por ejemplo, Anti_ransomware_backup.2022-12-20_1248 .

Antes de empezar
Pasos

Sigue estos pasos cuando necesites restaurar datos después de que ARP detecte una anomalía:

Elige un método de recuperación

En función del grado de corrupción de los datos y de tus requisitos operativos, elige uno de estos métodos de recuperación o una combinación de ellos.

  • Restauración de instantáneas de volumen: retrocede todo el volumen a una instantánea seleccionada (ARP o programada). Este es el método más rápido pero elimina todas las instantáneas creadas después del punto de restauración.

  • FlexClone a partir de una instantánea limpia: Crea un volumen clónico a partir de la instantánea seleccionada, conservando el volumen original y todas sus instantáneas para análisis forenses o recuperación adicional. Se recomienda dividir el clon del volumen primario para aislar el volumen primario infectado del clon limpio.

    Más información sobre "creación de un volumen FlexClone a partir de una instantánea" y "separar un FlexClone de su volumen primario".

  • Archivo único SnapRestore: Restaura archivos individuales a partir de instantáneas. Cada archivo puede proceder de una instantánea diferente. Esto resulta práctico cuando el número de archivos afectados es relativamente pequeño (de decenas a cientos de archivos).

    Más información sobre "restaurar un único archivo a partir de una instantánea".

  • Copia de datos desde el directorio .snapshot: Copia datos desde el punto de montaje de la instantánea a un nuevo volumen utilizando operaciones estándar de copia de archivos. Este método conserva el volumen original y las instantáneas para su análisis.

  • Enfoque híbrido: El volumen se retrocede primero a la instantánea limpia más cercana utilizando SnapRestore, luego los archivos dañados restantes se restauran individualmente desde otra instantánea o backup externo.

Limitaciones y consideraciones relativas a la recuperación

  • En ONTAP 9.15.1 y versiones anteriores, la liberación del bloqueo de instantáneas de ARP elimina las instantáneas de ARP inmediatamente. Libera el bloqueo solo si no planeas restaurar desde una instantánea de ARP.

  • Liberar el bloqueo anti-ransomware antes de restaurar a partir de instantáneas anteriores solo es necesario cuando usas volume snapshot restore. No es necesario para FlexClone, SnapRestore de archivo único, operaciones de copia de datos o métodos similares.

SnapMirror consideraciones

  • Si el volumen forma parte de una relación SAN SnapMirror synchronous o SnapMirror active sync en ONTAP 9.19.1 RC y planeas una restauración a nivel de volumen, ponlo en quiescencia o "romper la relación antes de restaurar" y luego restablece la protección después de la restauración.

  • Si restauras un volumen protegido por ARP desde una instantánea mientras participa en una relación SnapMirror, actualiza manualmente todas las copias espejo después de la restauración. De lo contrario, las copias espejo pueden quedar inutilizables y podría ser necesario borrarlas y volver a crearlas.

Para conocer el comportamiento completo de la interoperabilidad de SnapMirror y ARP, incluidas las consideraciones sobre instantáneas y conmutación por error, consulta "Interoperabilidad de SnapMirror y ARP".

Restaurar después de un ataque al sistema

Para las restauraciones de instantáneas de volumen, elige uno de estos flujos según el origen de la instantánea y la situación:

Restaurar desde la instantánea ARP más reciente

Elige este flujo cuando puedas restaurar con confianza a partir de la instantánea ARP más reciente, que es la instantánea más actualizada disponible para la recuperación.

System Manager

  1. Selecciona Almacenamiento > Volúmenes y, a continuación, selecciona el volumen y Copias instantáneas.

  2. Para ONTAP 9.16.1 y posteriores, antes de ejecutar una restauración de volumen, "borrar archivos sospechosos".

    Nota Después de borrar los archivos sospechosos, la instantánea ARP se conserva durante 7 días (por defecto). Si necesitas más tiempo para la recuperación de datos, "ajustar la configuración de instantáneas ARP" para aumentar el tiempo de retención de la instantánea al valor que desees. Cuando termines la recuperación de datos, puedes disminuir el tiempo de retención.

  3. Selecciona Icono de opciones de menú junto a la instantánea de ARP más reciente (Anti_ransomware) que quieres restaurar y luego selecciona Restaurar.

  4. Para ONTAP 9.15.1 y versiones anteriores, una vez finalizada la restauración, "borrar archivos sospechosos".

CLI

  1. Enumere las snapshots en un volumen:

    volume snapshot show -vserver <svm> -volume <volume>

  2. Para ONTAP 9.16.1 y versiones posteriores, antes de ejecutar volume snapshot restore, "borrar archivos sospechosos".

  3. Restaure el contenido de un volumen a partir de una copia de Snapshot:

    volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>

  4. Para ONTAP 9.15.1 y versiones anteriores, una vez finalizada la restauración, "borrar archivos sospechosos".

Restaurar desde una instantánea anterior

Elige este flujo cuando no confíes en la instantánea más reciente y quieras restaurar desde una instantánea anterior. Libera el bloqueo de la instantánea ARP más reciente antes de restaurar desde la instantánea anterior.

System Manager

  1. Libera el bloqueo de la instantánea ARP más reciente:

    1. Seleccione almacenamiento > volúmenes.

    2. Seleccione Seguridad y luego Ver tipos de archivos sospechosos.

    3. Marque los archivos como «posible ataque de ransomware».

    4. Selecciona Actualizar y borrar tipos de archivos sospechosos.

      Nota Si ya clasificaste la actividad como un posible ataque de ransomware siguiendo los pasos en "Responder a la actividad anormal detectada por ONTAP ARP", solo tienes que borrar aquí los tipos de archivo sospechosos.

  2. Selecciona Almacenamiento > Volúmenes y, a continuación, selecciona el volumen y Copias instantáneas.

  3. Selecciona Icono de opciones de menú junto a la instantánea anterior que quieres restaurar y luego selecciona Restaurar.

CLI

  1. Si estás restaurando desde una instantánea anterior usando volume snapshot restore, marca el ataque como posible ransomware (-false-positive false y borra los archivos sospechosos para liberar el bloqueo:

    security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

    Utilice uno de los siguientes parámetros para identificar las extensiones:

    • [-seq-no integer] :Número de secuencia del archivo en la lista de sospechosos.

    • [-extension text, … ] : Extensiones de archivo

    • [-start-time date_time -end-time date_time] :Horas de inicio y finalización para el rango de archivos que se borrarán, en el formato "MM/DD/AAAA HH:MM:SS".

  2. Enumere las snapshots en un volumen:

    volume snapshot show -vserver <svm> -volume <volume>

    El siguiente ejemplo muestra la snapshot en vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  3. Restaure el contenido de un volumen a partir de una copia de Snapshot:

    volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>

    El siguiente ejemplo restaura el contenido de vol1 :

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

Restaura cuando no se identifica un ataque al sistema

Cuando no se identifica ningún ataque, primero restaura desde la instantánea ARP más reciente y luego restaura desde una instantánea anterior que elijas.

System Manager

  1. Selecciona Almacenamiento > Volúmenes y, a continuación, selecciona el volumen y Copias instantáneas.

  2. Selecciona Icono de opciones de menú y luego elige la instantánea más reciente Anti_ransomware.

  3. Seleccione Restaurar.

  4. Vuelve al menú Copias de instantáneas y luego elige la instantánea anterior que quieras usar.

  5. Seleccione Restaurar.

CLI

  1. Restaura primero a partir de la instantánea ARP más reciente:

    1. Enumere las snapshots en un volumen:

      volume snapshot show -vserver <svm> -volume <volume>

    2. Restaure el contenido de un volumen a partir de una copia de Snapshot:

      volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>

  2. Selecciona la instantánea anterior que quieres usar y repite la restauración.

Obtenga más información sobre volume snapshot en el "Referencia de comandos del ONTAP".

Información relacionada