简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

在发生勒索软件攻击后从ONTAP ARP快照还原数据

05/06/2026 贡献者

PDF

自主勒索软件防护 (ARP) 会创建快照来防御潜在的勒索软件威胁。您可以使用其中一个 ARP 快照或卷的其他快照来恢复数据。

关于此任务

ARP 使用以下前缀名称之一创建快照：

Anti_ransomware_periodic_backup ：在ONTAP 9.17.1 及更高版本中用于定期创建的快照。例如， Anti_ransomware_periodic_backup.2025-06-01_1248 。
Anti_ransomware_attack_backup：在ONTAP 9.17.1 及更高版本中用于响应异常而创建的快照。例如， Anti_ransomware_attack_backup.2025-08-25_1248 。
Anti_ransomware_backup ：在ONTAP 9.16.1 及更早版本中，用于为应对异常而创建的快照。例如， Anti_ransomware_backup.2022-12-20_1248 。

要从快照中恢复， `Anti_ransomware`快照在识别出系统攻击后，必须先释放ARP快照。

如果没有报告系统攻击，您必须首先从 `Anti_ransomware`快照，然后从您选择的快照完成卷的后续恢复。

有关 SnapMirror 关系和 ARP 快照的详细信息

如果受 ARP 保护的卷属于SnapMirror关系，则从快照还原卷后，您需要手动更新该卷的所有镜像副本。如果跳过此步骤，镜像副本可能会变得不可用，需要删除并重新创建。

如果 ARP 保护的卷是 ONTAP 9.19.1 RC 中 SnapMirror 同步或 SnapMirror 活动同步关系的一部分，则适用其他恢复注意事项：

ARP 快照仅在主卷上创建和保留。作为 SnapMirror 同步或 SnapMirror 活动同步的一部分，它们不会复制到辅助卷。
故障转移期间不会复制 ARP 启用状态。故障转移后，您需要在恢复卷上 "再次启用 ARP"。
SnapMirror 同步或 SnapMirror 活动同步卷上的卷级还原(volume snapshot restore）可能需要暂时停止或中断 SnapMirror 同步或 SnapMirror 活动同步关系。
在许多情况下，您可以通过使用 FlexClone 或从 ARP 或主卷上的其他快照进行文件级还原操作，避免中断 SnapMirror 同步或 SnapMirror active sync。

开始之前

"您必须将攻击标记为潜在的勒索软件攻击"从快照恢复数据之前。

步骤

您可以使用System Manager或ONTAP 命令行界面还原数据。

System Manager

在系统受到攻击后恢复

要从ARP快照还原、请跳至步骤二。要从早期的快照还原、必须先释放ARP快照上的锁定。
1. 选择 * 存储 > 卷 * 。
2. 选择*安全性*，然后选择*查看可疑文件类型*。
3. 将文件标记为"潜在勒索软件攻击"。
4. 选择*更新*和*清除可疑文件类型*。
显示卷中的快照：

选择*存储>卷*，然后选择卷和*Snapshot副本*。
选择要还原的快照旁边的，然后选择Restore。

如果卷是 ONTAP 9.19.1 RC 中的 SnapMirror 同步或 SnapMirror 活动同步 SAN 关系的一部分，并且您计划执行卷级还原，请按照 SnapMirror 同步或 SnapMirror 活动同步文档静止或 "断开保护关系" 在开始还原之前，然后在还原完成后重新建立保护。

如果未发现系统攻击、则还原

显示卷中的快照：

选择*存储>卷*，然后选择卷和*Snapshot副本*。
选择然后选择 `Anti_ransomware`快照。
选择 * 还原 * 。
返回到*Snapshot副本*菜单，然后选择要使用的快照。选择 * 还原 * 。

命令行界面

在系统受到攻击后恢复

要从ARP快照还原、请跳至步骤二。要从早期快照还原数据、必须解除对ARP快照的锁定。

如果使用以下 `volume snapshot restore`命令，则只需在从早期快照还原之前释放反勒索软件 SnapLock。如果要使用 FlexClone、单个文件 SnapRestore 或其他方法还原数据，则无需执行此操作。

将攻击标记为潜在的勒索软件攻击(-false-positive false ）并清除可疑文件(clear-suspect ):
```
anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false
```
使用以下参数之一来识别扩展：
- [-seq-no integer] ：可疑列表中文件的序列号。
- [-extension text, … ] ：文件扩展名
- [-start-time date_time -end-time date_time] ：需要清除的文件范围的开始和结束时间，格式为“MM/DD/YYYY HH:MM:SS”。
如果卷是 ONTAP 9.19.1 RC 中的 SnapMirror 同步或 SnapMirror 活动同步 SAN 关系的一部分，并且您打算使用 `volume snapshot restore`执行卷级还原，请在运行还原操作之前根据 SnapMirror 同步或 SnapMirror 活动同步文档进行静止或"中断 SnapMirror 同步或 SnapMirror 活动同步关系"。

列出卷中的快照：

volume snapshot show -vserver <SVM> -volume <volume>

以下示例显示了中的快照 vol1：

clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

从快照还原卷的内容：

volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

以下示例将还原的内容 vol1：

cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010