Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在勒索软件攻击后还原数据

贡献者

当自主勒索软件保护(ARP)检测到潜在攻击时、系统会创建名为"Anti勒索软件_backup"的Snapshot副本。您可以从这些ARP副本或其他Snapshot副本还原数据。

关于此任务

如果卷具有 SnapMirror 关系,请在从 Snapshot 副本还原后立即手动复制卷的所有镜像副本。否则,可能会导致镜像副本不可用,必须删除并重新创建这些副本。

步骤

您可以使用System Manager或ONTAP 命令行界面还原数据。

System Manager
  1. 如果要从早期的Snapshot副本而不是ARP副本还原数据、则必须释放防勒索软件Snapshot锁定。如果要从ARP副本还原、则无需解除锁定、您可以跳过此步骤。

    如果发现系统攻击、请执行以下操作…​ 如果未发现系统攻击、请执行以下操作…​
    1. 选择 * 存储 > 卷 * 。

    2. 选择*安全性*,然后选择*查看可疑文件类型*

    3. 将这些文件标记为"Falseal"。

    4. 选择*更新*和*清除可疑文件类型*

    要释放Snapshot锁定、必须先从ARP副本还原、然后再从早期的Snapshot副本还原。

    按照步骤2-3从ARP副本还原数据、然后重复此过程从早期的Snapshot副本还原数据。

  2. 显示卷中的Snapshot副本:

    选择*存储>卷*,然后选择卷和*Snapshot副本*。

  3. 选择 …​ 菜单选项 在要还原的Snapshot副本旁边,然后选择*Restore*。

命令行界面
  1. 如果您要从早期Snapshot副本(而不是从ARP副本)还原数据、则必须执行以下操作以释放反勒索软件Snapshot锁定。 如果要从ARP副本还原、则无需解除锁定、您可以跳过此步骤。

    备注 只有在使用时、才需要在从早期Snapshot副本还原之前释放反勒索软件SnapLock volume snap restore 命令。 如果使用Flex Clone、Single File Snap Restore或其他方法还原数据、则无需执行此操作。
    如果发现系统攻击、请执行以下操作…​ 如果未发现系统攻击、请执行以下操作…​

    将此攻击标记为"误报"和"明确可疑"。

    anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true

    使用以下参数之一标识扩展:
    [-seq-no integer] 可疑列表中的文件序列号。
    [-extension text, … ] 文件扩展名
    [-start-time date_time -end-time date_time] 要清除的文件范围的开始时间和结束时间、格式为"MM/DD/YYYY HH:MM:SS"。

    要释放Snapshot锁定、必须先从ARP副本还原、然后再从早期的Snapshot副本还原。

    按照步骤2-3从ARP副本还原数据、然后重复此过程从早期的Snapshot副本还原数据。

  2. 列出卷中的 Snapshot 副本:

    volume snapshot show -vserver SVM -volume volume

    以下示例显示了中的Snapshot副本 vol1

    clus1::> volume snapshot show -vserver vs1 -volume vol1
    
    Vserver Volume Snapshot                State    Size  Total% Used%
    ------- ------ ---------- ----------- ------   -----  ------ -----
    vs1	 vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
                   daily.2013-01-25_0010   valid   92KB      0%    0%
                   hourly.2013-01-25_0105  valid   228KB     0%    0%
                   hourly.2013-01-25_0205  valid   236KB     0%    0%
                   hourly.2013-01-25_0305  valid   244KB     0%    0%
                   hourly.2013-01-25_0405  valid   244KB     0%    0%
                   hourly.2013-01-25_0505  valid   244KB     0%    0%
    
    7 entries were displayed.
  3. 从 Snapshot 副本还原卷的内容:

    volume snapshot restore -vserver SVM -volume volume -snapshot snapshot

    以下示例将还原的内容 vol1

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010