在勒索软件攻击后还原数据
建议更改
PDF
自动勒索软件保护(ARP)会在检测到潜在勒索软件威胁时创建名为的快照 Anti_ransomware_backup。您可以使用其中一个ARP快照或卷的另一个快照来还原数据。
如果此卷具有SnapMirror关系、请在从快照还原后立即手动复制此卷的所有镜像副本。否则,可能会导致镜像副本不可用,必须删除并重新创建这些副本。
要在发现系统攻击后从快照以外的快照进行还原、必须先释放ARP快 `Anti_ransomware_backup`照。
如果未报告系统受到攻击、则必须先从快照还原 Anti_ransomware_backup、然后再从所选快照完成卷的后续还原。
您可以使用System Manager或ONTAP 命令行界面还原数据。
-
要从ARP快照还原、请跳至步骤二。要从早期的快照还原、必须先释放ARP快照上的锁定。
-
选择 * 存储 > 卷 * 。
-
选择*安全性*,然后选择*查看可疑文件类型*。
-
将文件标记为"潜在勒索软件攻击"。
-
选择*更新*和*清除可疑文件类型*。
-
-
显示卷中的快照:
选择*存储>卷*,然后选择卷和*Snapshot副本*。
-
选择要还原的快照旁边的,然后选择
Restore。
-
显示卷中的快照:
选择*存储>卷*,然后选择卷和*Snapshot副本*。
-
选择它们 `Anti_ransomware_backup`选择
快照。 -
选择 * 还原 * 。
-
返回到*Snapshot副本*菜单,然后选择要使用的快照。选择 * 还原 * 。
-
要从ARP快照还原、请跳至步骤二。要从早期快照还原数据、必须解除对ARP快照的锁定。
只有在使用以下命令时、才需要在从早期快照还原之前释放反勒索软件SnapLock volume snap restore。如果使用FlexClone、单文件Snap Restore或其他方法还原数据、则无需执行此操作。将此攻击标记为潜在的勒索软件攻击(
-false-positive false,并清除可疑文件(clear-suspect:
anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false`使用以下参数之一确定扩展名:可疑列表中文件的序列号。
`[-extension text, … ]
`[-seq-no integer]`要清除的文件范围的文件扩展名
`[-start-time date_time -end-time date_time]`开始和结束时间、格式为"MM/DD/YYYYHH:MM:SS"。 -
列出卷中的 Snapshot 副本:
volume snapshot show -vserver <SVM> -volume <volume>以下示例显示了中的Snapshot副本
vol1:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
从 Snapshot 副本还原卷的内容:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>以下示例将还原的内容
vol1:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
列出卷中的 Snapshot 副本:
volume snapshot show -vserver <SVM> -volume <volume>以下示例显示了中的Snapshot副本
vol1:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
从 Snapshot 副本还原卷的内容:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>以下示例将还原的内容
vol1:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
重复步骤1和2、使用所需的快照还原卷。