Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Restaure os dados após um ataque de ransomware

Colaboradores

O Autonomous ransomware Protection (ARP) cria snapshots nomeados Anti_ransomware_backup quando deteta uma potencial ameaça de ransomware. Você pode usar um desses snapshots ARP ou outro snapshot do volume para restaurar dados.

Sobre esta tarefa

Se o volume tiver relações SnapMirror, replique manualmente todas as cópias espelhadas do volume imediatamente após a restauração a partir de um snapshot. Não fazer isso pode resultar em cópias espelhadas inutilizáveis que devem ser excluídas e recriadas.

Para restaurar a partir de um instantâneo diferente do Anti_ransomware_backup instantâneo após um ataque do sistema ter sido identificado, primeiro você deve liberar o instantâneo ARP.

Se nenhum ataque do sistema foi relatado, você deve primeiro restaurar a partir do Anti_ransomware_backup instantâneo e, em seguida, concluir uma restauração subsequente do volume a partir do instantâneo de sua escolha.

Passos

Você pode usar o Gerenciador do sistema ou a CLI do ONTAP para restaurar seus dados.

System Manager
Restaurar após um ataque ao sistema
  1. Para restaurar a partir do instantâneo ARP, passe para a etapa dois. Para restaurar a partir de um instantâneo anterior, primeiro é necessário liberar o bloqueio no instantâneo ARP.

    1. Selecione armazenamento > volumes.

    2. Selecione Segurança e depois Exibir tipos de arquivos suspeitos.

    3. Marque os arquivos como "possível ataque de ransomware".

    4. Selecione Update e Clear Suspect File Types.

  2. Exibir os instantâneos em volumes:

    Selecione armazenamento > volumes e, em seguida, selecione o volume e cópias Snapshot.

  3. Selecione Ícone de opções do menu ao lado do instantâneo que deseja restaurar e depois Restaurar.

Restaure se um ataque do sistema não foi identificado
  1. Exibir os instantâneos em volumes:

    Selecione armazenamento > volumes e, em seguida, selecione o volume e cópias Snapshot.

  2. SelecioneÍcone de opções do menu-os escolha o Anti_ransomware_backup instantâneo.

  3. Selecione Restaurar.

  4. Retorne ao menu cópias instantâneas e escolha o instantâneo que deseja usar. Selecione Restaurar.

CLI
Restaurar após um ataque ao sistema
  1. Para restaurar a partir do instantâneo ARP, passe para a etapa dois. Para restaurar dados de instantâneos anteriores, você deve liberar o bloqueio no instantâneo ARP.

    Observação Só é necessário liberar o SnapLock anti-ransomware antes de restaurar a partir de snapshots anteriores se você estiver usando o volume snap restore comando como descrito abaixo. Se você estiver restaurando dados usando o FlexClone, a Restauração Snap de Arquivo único ou outros métodos, isso não será necessário.

    Marque o ataque como um possível ataque de ransomware (-false-positive false) e limpe os arquivos suspeitos (clear-suspect):
    anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false Use um dos seguintes parâmetros para identificar as extensões:
    [-seq-no integer] Número de sequência do arquivo na lista suspeita.
    [-extension text, … ] Extensões de arquivo
    [-start-time date_time -end-time date_time] começando e terminando tempos para o intervalo de arquivos a ser limpo, no formulário "MM/DD/AAAA HH:MM:SS".

  2. Listar as cópias Snapshot em um volume:

    volume snapshot show -vserver <SVM> -volume <volume>

    O exemplo a seguir mostra as cópias Snapshot vol1 no :

    clus1::> volume snapshot show -vserver vs1 -volume vol1
    
    Vserver Volume Snapshot                State    Size  Total% Used%
    ------- ------ ---------- ----------- ------   -----  ------ -----
    vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
                   daily.2013-01-25_0010   valid   92KB      0%    0%
                   hourly.2013-01-25_0105  valid   228KB     0%    0%
                   hourly.2013-01-25_0205  valid   236KB     0%    0%
                   hourly.2013-01-25_0305  valid   244KB     0%    0%
                   hourly.2013-01-25_0405  valid   244KB     0%    0%
                   hourly.2013-01-25_0505  valid   244KB     0%    0%
    
    7 entries were displayed.
  3. Restaure o conteúdo de um volume a partir de uma cópia Snapshot:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    O exemplo a seguir restaura o conteúdo vol1 de :

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
Restaure se um ataque do sistema não foi identificado
  1. Listar as cópias Snapshot em um volume:

    volume snapshot show -vserver <SVM> -volume <volume>

    O exemplo a seguir mostra as cópias Snapshot vol1 no :

    clus1::> volume snapshot show -vserver vs1 -volume vol1
    
    Vserver Volume Snapshot                State    Size  Total% Used%
    ------- ------ ---------- ----------- ------   -----  ------ -----
    vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
                   daily.2013-01-25_0010   valid   92KB      0%    0%
                   hourly.2013-01-25_0105  valid   228KB     0%    0%
                   hourly.2013-01-25_0205  valid   236KB     0%    0%
                   hourly.2013-01-25_0305  valid   244KB     0%    0%
                   hourly.2013-01-25_0405  valid   244KB     0%    0%
                   hourly.2013-01-25_0505  valid   244KB     0%    0%
    
    7 entries were displayed.
  2. Restaure o conteúdo de um volume a partir de uma cópia Snapshot:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    O exemplo a seguir restaura o conteúdo vol1 de :

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
  3. Repita as etapas 1 e 2 para restaurar o volume usando o instantâneo de desejo.