Restaurez les données après une attaque par ransomware
Suggérer des modifications
PDF
La protection anti-ransomware autonome (ARP) crée des snapshots nommés Anti_ransomware_backup lorsqu'elle détecte une menace potentielle de ransomware. Vous pouvez utiliser l'un de ces snapshots ARP ou un autre instantané de votre volume pour restaurer des données.
Si le volume possède des relations SnapMirror, répliquez manuellement toutes les copies en miroir du volume immédiatement après la restauration à partir d'un snapshot. Cette opération risque d'entraîner des copies miroir inutilisables qui doivent d'être supprimées et recréées.
Pour effectuer une restauration à partir d'un snapshot autre que le Anti_ransomware_backup snapshot après l'identification d'une attaque système, vous devez d'abord libérer le snapshot ARP.
Si aucune attaque système n'a été signalée, vous devez d'abord effectuer une restauration à Anti_ransomware_backup partir du snapshot, puis effectuer une restauration ultérieure du volume à partir du snapshot de votre choix.
Vous pouvez utiliser System Manager ou l'interface de ligne de commandes de ONTAP pour restaurer vos données.
-
Pour effectuer une restauration à partir de l'instantané ARP, passez à l'étape 2. Pour effectuer une restauration à partir d'un snapshot antérieur, vous devez d'abord libérer le verrou sur le snapshot ARP.
-
Sélectionnez stockage > volumes.
-
Sélectionnez sécurité puis Afficher les types de fichiers suspects.
-
Marquez les fichiers comme « attaque potentielle par ransomware ».
-
Sélectionnez mettre à jour et Effacer les types de fichiers suspects.
-
-
Afficher les snapshots dans les volumes :
Sélectionnez stockage > volumes, puis sélectionnez le volume et copies Snapshot.
-
Sélectionnez
en regard de l'instantané que vous souhaitez restaurer, puis Restaurer.
-
Afficher les snapshots dans les volumes :
Sélectionnez stockage > volumes, puis sélectionnez le volume et copies Snapshot.
-
Sélectionnez
-les pour choisir l' `Anti_ransomware_backup`instantané. -
Sélectionnez Restaurer.
-
Revenez au menu copies Snapshot, puis choisissez l'instantané que vous souhaitez utiliser. Sélectionnez Restaurer.
-
Pour effectuer une restauration à partir de l'instantané ARP, passez à l'étape 2. Pour restaurer des données à partir de snapshots antérieurs, vous devez libérer le verrou sur le snapshot ARP.
Si vous utilisez la commande décrite ci-dessous, vous devez libérer la fonctionnalité anti-ransomware SnapLock avant de restaurer les données à partir de copies Snapshot antérieures volume snap restore. Si vous restaurez des données à l'aide de FlexClone, de la restauration par alignement de fichier unique ou d'autres méthodes, cela n'est pas nécessaire.Marquez l'attaque comme une attaque potentielle par ransomware (
-false-positive false) et effacez les fichiers suspects (clear-suspect) :
anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive falseutilisez l'un des paramètres suivants pour identifier les extensions :
[-seq-no integer]numéro de séquence du fichier dans la liste des suspects.
[-extension text, … ]Extensions de fichier
[-start-time date_time -end-time date_time]heures de début et de fin pour la plage de fichiers à effacer, sous la forme « MM/JJ/AAAA HH:MM:SS ». -
Lister les copies Snapshot dans un volume :
volume snapshot show -vserver <SVM> -volume <volume>L'exemple suivant montre les copies Snapshot dans
vol1:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
Restaurer le contenu d'un volume à partir d'une copie Snapshot :
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>L'exemple suivant restaure le contenu de
vol1:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
Lister les copies Snapshot dans un volume :
volume snapshot show -vserver <SVM> -volume <volume>L'exemple suivant montre les copies Snapshot dans
vol1:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
Restaurer le contenu d'un volume à partir d'une copie Snapshot :
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>L'exemple suivant restaure le contenu de
vol1:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
Répétez les étapes 1 et 2 pour restaurer le volume à l'aide de l'instantané souhaité.