在发生勒索软件攻击后从ONTAP ARP快照还原数据
建议更改
PDF
自主勒索软件防护 (ARP) 会创建快照来防御潜在的勒索软件威胁。您可以使用其中一个 ARP 快照或卷的其他快照来恢复数据。
ARP 使用以下前缀名称之一创建快照:
-
Anti_ransomware_periodic_backup:在ONTAP 9.17.1 及更高版本中用于定期创建的快照。例如,Anti_ransomware_periodic_backup.2025-06-01_1248。 -
Anti_ransomware_attack_backup:在ONTAP 9.17.1 及更高版本中用于响应异常而创建的快照。例如,Anti_ransomware_attack_backup.2025-08-25_1248。 -
Anti_ransomware_backup:在ONTAP 9.16.1 及更早版本中,用于为应对异常而创建的快照。例如,Anti_ransomware_backup.2022-12-20_1248。
要从快照中恢复, `Anti_ransomware`快照 在识别出系统攻击后,必须先释放ARP快照。
如果没有报告系统攻击,您必须首先从 `Anti_ransomware`快照,然后从您选择的快照完成卷的后续恢复。
|
如果受 ARP 保护的卷属于SnapMirror关系,则从快照还原卷后,您需要手动更新该卷的所有镜像副本。如果跳过此步骤,镜像副本可能会变得不可用,需要删除并重新创建。 |
"您必须将攻击标记为潜在的勒索软件攻击"从快照恢复数据之前。
您可以使用System Manager或ONTAP 命令行界面还原数据。
-
要从ARP快照还原、请跳至步骤二。要从早期的快照还原、必须先释放ARP快照上的锁定。
-
选择 * 存储 > 卷 * 。
-
选择*安全性*,然后选择*查看可疑文件类型*。
-
将文件标记为"潜在勒索软件攻击"。
-
选择*更新*和*清除可疑文件类型*。
-
-
显示卷中的快照:
选择*存储>卷*,然后选择卷和*Snapshot副本*。
-
选择要还原的快照旁边的,然后选择
Restore。
-
显示卷中的快照:
选择*存储>卷*,然后选择卷和*Snapshot副本*。
-
选择
然后选择 `Anti_ransomware`快照。 -
选择 * 还原 * 。
-
返回到*Snapshot副本*菜单,然后选择要使用的快照。选择 * 还原 * 。
要从ARP快照还原、请跳至步骤二。要从早期快照还原数据、必须解除对ARP快照的锁定。
|
|
只有在使用以下命令时、才需要在从早期快照还原之前释放反勒索软件SnapLock volume snapshot restore。如果使用FlexClone、单文件Snap Restore或其他方法还原数据、则无需执行此操作。
|
-
将攻击标记为潜在的勒索软件攻击(
-false-positive false)并清除可疑文件(clear-suspect):anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false使用以下参数之一来识别扩展:
-
[-seq-no integer]:可疑列表中文件的序列号。 -
[-extension text, … ]:文件扩展名 -
[-start-time date_time -end-time date_time]:需要清除的文件范围的开始和结束时间,格式为“MM/DD/YYYY HH:MM:SS”。
-
-
列出卷中的快照:
volume snapshot show -vserver <SVM> -volume <volume>以下示例显示了中的快照
vol1:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
从快照还原卷的内容:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>以下示例将还原的内容
vol1:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
列出卷中的快照:
volume snapshot show -vserver <SVM> -volume <volume>以下示例显示了中的快照
vol1:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
从快照还原卷的内容:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>以下示例将还原的内容
vol1:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
有关的详细信息 volume snapshot,请参见"ONTAP 命令参考"。