Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Restaure os dados dos snapshots ARP do ONTAP após um ataque de ransomware

Colaboradores netapp-dbagwell netapp-aherbin netapp-ahibbard netapp-forry netapp-aaron-holt
PDFs

A Proteção Autônoma contra Ransomware (ARP) cria snapshots para proteger contra uma possível ameaça de ransomware. Você pode usar um desses snapshots ARP ou outro snapshot do seu volume para restaurar dados.

Sobre esta tarefa

O ARP cria snapshots com um dos seguintes nomes anexados:

  • Anti_ransomware_periodic_backup : Usado no ONTAP 9.17.1 e versões posteriores para snapshots criados em intervalos regulares. Por exemplo, Anti_ransomware_periodic_backup.2025-06-01_1248 .

  • Anti_ransomware_attack_backup: Usado no ONTAP 9.17.1 e posteriores para instantâneos criados em resposta a anormalidades. Por exemplo, Anti_ransomware_attack_backup.2025-08-25_1248 .

  • Anti_ransomware_backup : Usado no ONTAP 9.16.1 e versões anteriores com snapshots criados em resposta a anormalidades. Por exemplo, Anti_ransomware_backup.2022-12-20_1248 .

Para restaurar a partir de um instantâneo diferente do Anti_ransomware snapshot após um ataque ao sistema ser identificado, você deve primeiro liberar o snapshot ARP.

Se nenhum ataque ao sistema for relatado, você deve primeiro restaurar a partir do Anti_ransomware instantâneo e conclua uma restauração subsequente do volume a partir do instantâneo escolhido.

Observação Se o volume protegido por ARP fizer parte de um relacionamento SnapMirror , você precisará atualizar manualmente todas as cópias espelhadas do volume após restaurá-lo a partir de um snapshot. Se você pular esta etapa, as cópias espelhadas poderão ficar inutilizáveis e precisarão ser excluídas e recriadas.
Antes de começar

"Você deve marcar o ataque como um potencial ataque de ransomware" antes de restaurar dados de um instantâneo.

Passos

Você pode usar o Gerenciador do sistema ou a CLI do ONTAP para restaurar seus dados.

System Manager
Restaurar após um ataque ao sistema

  1. Para restaurar a partir do instantâneo ARP, passe para a etapa dois. Para restaurar a partir de um instantâneo anterior, primeiro é necessário liberar o bloqueio no instantâneo ARP.

    1. Selecione armazenamento > volumes.

    2. Selecione Segurança e depois Exibir tipos de arquivos suspeitos.

    3. Marque os arquivos como "possível ataque de ransomware".

    4. Selecione Update e Clear Suspect File Types.

  2. Exibir os instantâneos em volumes:

    Selecione armazenamento > volumes e, em seguida, selecione o volume e cópias Snapshot.

  3. Selecione Ícone de opções do menu ao lado do instantâneo que deseja restaurar e depois Restaurar.

Restaure se um ataque do sistema não foi identificado

  1. Exibir os instantâneos em volumes:

    Selecione armazenamento > volumes e, em seguida, selecione o volume e cópias Snapshot.

  2. Selecione Ícone de opções do menu então escolha o Anti_ransomware instantâneo.

  3. Selecione Restaurar.

  4. Retorne ao menu cópias instantâneas e escolha o instantâneo que deseja usar. Selecione Restaurar.

CLI
Restaurar após um ataque ao sistema

Para restaurar a partir do instantâneo ARP, passe para a etapa dois. Para restaurar dados de instantâneos anteriores, você deve liberar o bloqueio no instantâneo ARP.

Observação Só é necessário liberar o SnapLock anti-ransomware antes de restaurar a partir de snapshots anteriores se você estiver usando o volume snapshot restore comando como descrito abaixo. Se você estiver restaurando dados usando o FlexClone, a Restauração Snap de Arquivo único ou outros métodos, isso não será necessário.

  1. Marque o ataque como um potencial ataque de ransomware (-false-positive false ) e limpar arquivos suspeitos (clear-suspect ):

    anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

    Use um dos seguintes parâmetros para identificar as extensões:

    • [-seq-no integer] : Número de sequência do arquivo na lista de suspeitos.

    • [-extension text, … ] : Extensões de arquivo

    • [-start-time date_time -end-time date_time] : Horários de início e término para o intervalo de arquivos a serem limpos, no formato "MM/DD/AAAA HH:MM:SS".

  2. Listar os instantâneos em um volume:

    volume snapshot show -vserver <SVM> -volume <volume>

    O exemplo a seguir mostra o instantâneo no vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  3. Restaure o conteúdo de um volume a partir de um instantâneo:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    O exemplo a seguir restaura o conteúdo vol1 de :

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
Restaure se um ataque do sistema não foi identificado

  1. Listar os instantâneos em um volume:

    volume snapshot show -vserver <SVM> -volume <volume>

    O exemplo a seguir mostra o instantâneo no vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  2. Restaure o conteúdo de um volume a partir de um instantâneo:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    O exemplo a seguir restaura o conteúdo vol1 de :

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

Saiba mais sobre volume snapshot o "Referência do comando ONTAP"na .

Informações relacionadas