Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Ripristinare i dati dopo un attacco ransomware

Collaboratori
PDF

La protezione autonoma dal ransomware (ARP) crea copie Snapshot denominate Anti_ransomware_backup quando rileva una potenziale minaccia ransomware. È possibile utilizzare una di queste copie snapshot ARP o un'altra copia Snapshot del volume per ripristinare i dati.

A proposito di questa attività

Se il volume presenta relazioni SnapMirror, replicare manualmente tutte le copie mirror del volume immediatamente dopo il ripristino da una copia Snapshot. In caso contrario, le copie mirror non possono essere utilizzabili e devono essere eliminate e ricreate.

Per eseguire il ripristino da uno Snapshot diverso da Anti_ransomware_backup Snapshot dopo aver identificato un attacco di sistema, è necessario prima rilasciare lo snapshot ARP.

Se non è stato segnalato alcun attacco al sistema, è necessario prima eseguire il ripristino da Anti_ransomware_backup La copia Snapshot, quindi, completa un successivo ripristino del volume dalla copia Snapshot scelta.

Fasi

Per ripristinare i dati, è possibile utilizzare Gestione di sistema o l'interfaccia utente di ONTAP.

System Manager
Ripristino dopo un attacco di sistema

  1. Per eseguire il ripristino dall'istantanea ARP, passare direttamente al punto 2. Per eseguire il ripristino da una copia Snapshot precedente, è necessario prima rilasciare il blocco sull'istantanea ARP.

    1. Selezionare Storage > Volumes (Storage > volumi).

    2. Selezionare sicurezza, quindi Visualizza tipi di file sospetti

    3. Contrassegnare i file come "False Positive" (Falso positivo).

    4. Selezionare Aggiorna e Cancella tipi di file sospetti

  2. Visualizzare le copie Snapshot nei volumi:

    Selezionare archiviazione > volumi, quindi selezionare il volume e Snapshot Copies.

  3. Selezionare Opzione di menu Accanto alla copia istantanea che si desidera ripristinare, quindi Restore.

Ripristinare se non è stato identificato un attacco di sistema

  1. Visualizzare le copie Snapshot nei volumi:

    Selezionare archiviazione > volumi, quindi selezionare il volume e Snapshot Copies.

  2. Selezionare Opzione di menu loro scelgono il Anti_ransomware_backup Istantanea.

  3. Selezionare Restore (Ripristina).

  4. Tornare al menu Snapshot Copies, quindi scegliere la copia istantanea che si desidera utilizzare. Selezionare Restore (Ripristina).

CLI
Ripristino dopo un attacco di sistema

  1. Per eseguire il ripristino dalla copia snapshot ARP, passare direttamente al punto 2. Per ripristinare i dati da copie Snapshot precedenti, è necessario rilasciare il blocco sullo snapshot ARP.

    Nota È necessario rilasciare il SnapLock anti-ransomware solo prima di eseguire il ripristino dalle copie Snapshot precedenti, se si utilizza volume snap restore come descritto di seguito. Se si ripristinano i dati utilizzando Flex Clone, Single file Snap Restore o altri metodi, ciò non è necessario.

    Contrassegnare l'attacco come "falso positivo" e "chiaro sospetto":
    anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
    Per identificare gli interni, utilizzare uno dei seguenti parametri:
    [-seq-no integer] Numero di sequenza del file nell'elenco dei file sospetti.
    [-extension text, … ] Estensioni di file
    [-start-time date_time -end-time date_time] Orari di inizio e fine dell'intervallo di file da cancellare, nel formato "MM/GG/AAAA HH:MM:SS".

  2. Elencare le copie Snapshot in un volume:

    volume snapshot show -vserver SVM -volume volume

    L'esempio seguente mostra le copie Snapshot in vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	 vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  3. Ripristinare il contenuto di un volume da una copia Snapshot:

    volume snapshot restore -vserver SVM -volume volume -snapshot snapshot

    Nell'esempio riportato di seguito viene ripristinato il contenuto di vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
Ripristinare se non è stato identificato un attacco di sistema

  1. Elencare le copie Snapshot in un volume:

    volume snapshot show -vserver SVM -volume volume

    L'esempio seguente mostra le copie Snapshot in vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	 vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  2. Ripristinare il contenuto di un volume da una copia Snapshot:

    volume snapshot restore -vserver SVM -volume volume -snapshot snapshot

    Nell'esempio riportato di seguito viene ripristinato il contenuto di vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

  3. Ripetere i passaggi 1 e 2 per ripristinare il volume utilizzando la copia Snapshot desiderata.

Ulteriori informazioni