Restaure os dados após um ataque de ransomware
O Autonomous ransomware Protection (ARP) cria snapshots nomeados Anti_ransomware_backup
quando deteta uma potencial ameaça de ransomware. Você pode usar um desses snapshots ARP ou outro snapshot do volume para restaurar dados.
Se o volume tiver relações SnapMirror, replique manualmente todas as cópias espelhadas do volume imediatamente após a restauração a partir de um snapshot. Não fazer isso pode resultar em cópias espelhadas inutilizáveis que devem ser excluídas e recriadas.
Para restaurar a partir de um instantâneo diferente do Anti_ransomware_backup
instantâneo após um ataque do sistema ter sido identificado, primeiro você deve liberar o instantâneo ARP.
Se nenhum ataque do sistema foi relatado, você deve primeiro restaurar a partir do Anti_ransomware_backup
instantâneo e, em seguida, concluir uma restauração subsequente do volume a partir do instantâneo de sua escolha.
Você pode usar o Gerenciador do sistema ou a CLI do ONTAP para restaurar seus dados.
-
Para restaurar a partir do instantâneo ARP, passe para a etapa dois. Para restaurar a partir de um instantâneo anterior, primeiro é necessário liberar o bloqueio no instantâneo ARP.
-
Selecione armazenamento > volumes.
-
Selecione Segurança e depois Exibir tipos de arquivos suspeitos.
-
Marque os arquivos como "possível ataque de ransomware".
-
Selecione Update e Clear Suspect File Types.
-
-
Exibir os instantâneos em volumes:
Selecione armazenamento > volumes e, em seguida, selecione o volume e cópias Snapshot.
-
Selecione ao lado do instantâneo que deseja restaurar e depois Restaurar.
-
Exibir os instantâneos em volumes:
Selecione armazenamento > volumes e, em seguida, selecione o volume e cópias Snapshot.
-
Selecione-os escolha o
Anti_ransomware_backup
instantâneo. -
Selecione Restaurar.
-
Retorne ao menu cópias instantâneas e escolha o instantâneo que deseja usar. Selecione Restaurar.
-
Para restaurar a partir do instantâneo ARP, passe para a etapa dois. Para restaurar dados de instantâneos anteriores, você deve liberar o bloqueio no instantâneo ARP.
Só é necessário liberar o SnapLock anti-ransomware antes de restaurar a partir de snapshots anteriores se você estiver usando o volume snap restore
comando como descrito abaixo. Se você estiver restaurando dados usando o FlexClone, a Restauração Snap de Arquivo único ou outros métodos, isso não será necessário.Marque o ataque como um possível ataque de ransomware (
-false-positive false
) e limpe os arquivos suspeitos (clear-suspect
):
anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false
Use um dos seguintes parâmetros para identificar as extensões:
[-seq-no integer]
Número de sequência do arquivo na lista suspeita.
[-extension text, … ]
Extensões de arquivo
[-start-time date_time -end-time date_time]
começando e terminando tempos para o intervalo de arquivos a ser limpo, no formulário "MM/DD/AAAA HH:MM:SS". -
Listar as cópias Snapshot em um volume:
volume snapshot show -vserver <SVM> -volume <volume>
O exemplo a seguir mostra as cópias Snapshot
vol1
no :clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed.
-
Restaure o conteúdo de um volume a partir de uma cópia Snapshot:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>
O exemplo a seguir restaura o conteúdo
vol1
de :cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
Listar as cópias Snapshot em um volume:
volume snapshot show -vserver <SVM> -volume <volume>
O exemplo a seguir mostra as cópias Snapshot
vol1
no :clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed.
-
Restaure o conteúdo de um volume a partir de uma cópia Snapshot:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>
O exemplo a seguir restaura o conteúdo
vol1
de :cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
Repita as etapas 1 e 2 para restaurar o volume usando o instantâneo de desejo.