在发生勒索软件攻击后从ONTAP ARP快照还原数据
建议更改
PDF
Autonomous Ransomware Protection (ARP) 创建快照以防范潜在的勒索软件威胁。您可以使用 ARP 快照或卷的其他快照来还原数据。
根据潜在的攻击情况,您可以通过以下方式之一还原数据:
-
从最新的 ARP 快照还原:当您对其完整性有信心时,请使用可用于恢复的最新 ARP 快照。
-
从最近的 ARP 快照以外的快照还原:首先释放对最新 ARP 快照的锁定,然后从您选择的早期快照中恢复。
-
如果未报告系统攻击,但您仍要恢复:首先从 `Anti_ransomware`快照还原,然后从您选择的快照完成卷的后续还原。
ARP 使用以下前缀名称之一创建快照:
-
Anti_ransomware_periodic_backup:在ONTAP 9.17.1 及更高版本中用于定期创建的快照。例如,Anti_ransomware_periodic_backup.2025-06-01_1248。 -
Anti_ransomware_attack_backup:在ONTAP 9.17.1 及更高版本中用于响应异常而创建的快照。例如,Anti_ransomware_attack_backup.2025-08-25_1248。 -
Anti_ransomware_backup:在ONTAP 9.16.1 及更早版本中,用于为应对异常而创建的快照。例如,Anti_ransomware_backup.2022-12-20_1248。
-
如果您正在响应异常活动警告,请在继续进行数据还原之前"您必须首先将其归类为潜在的勒索软件攻击"。
-
在完成还原过程之前,您还需要选择 还原方法 和 了解恢复注意事项和限制。
在 ARP 检测到异常后需要还原数据时,请按照以下步骤进行操作:
选择一种恢复方法
根据数据损坏的程度和您的操作要求,选择这些恢复方法之一或组合。
-
卷快照还原:将整个卷回滚到选定的快照(ARP 或计划)。这是最快的方法,但会删除在还原点之后创建的所有快照。
-
从干净的快照创建 FlexClone:从所选快照创建克隆卷,保留原始卷及其所有快照,以进行取证分析或进行其他恢复。建议从父卷拆分克隆,以将受感染的父卷与干净的克隆隔离开来。
-
单个文件 SnapRestore:从快照还原单个文件。每个文件都可以从不同的快照中获取。当受影响的文件数量相对较少(数十到数百个文件)时,这是实际可行的。
详细了解"从 Snapshot 还原单个文件"。
-
从
.snapshot目录复制数据:使用标准文件复制操作将数据从快照装载点复制到新卷。此方法保留原始卷和快照以供分析。 -
混合方法:首先使用 SnapRestore 将卷回滚到最近的干净快照,然后从另一个快照或外部备份单独恢复任何剩余的损坏文件。
恢复限制和注意事项
-
对于 ONTAP 9.15.1 及更早版本,释放 ARP 快照锁定会立即删除 ARP 快照。仅当您不打算从 ARP 快照还原时,才释放锁定。
-
只有在使用 `volume snapshot restore`时,才需要在从早期快照恢复之前释放反勒索软件锁定。FlexClone、单文件 SnapRestore、数据复制操作或类似方法不需要它。
-
如果卷是 ONTAP 9.19.1 RC 中的 SnapMirror 同步或 SnapMirror 活动同步 SAN 关系的一部分,并且您计划卷级还原,则静止或"在恢复之前断开关系",然后在还原后重新建立保护。
-
如果在参与 SnapMirror 关系时从快照恢复受 ARP 保护的卷,请在恢复后手动更新所有镜像副本。否则,镜像副本可能无法使用,可能需要删除和重新创建。
有关完整 SnapMirror 和 ARP 互操作性行为,包括快照和故障转移注意事项,请参见 "SnapMirror和ARP互操作性"。
在系统受到攻击后恢复
对于卷快照恢复,根据快照源和情况选择以下流程之一:
从最新的 ARP 快照还原
当您可以放心地从最新的 ARP 快照中恢复时,请选择此流程,这是可用于恢复的最新快照。
-
选择*存储>卷*,然后选择卷和*Snapshot副本*。
-
对于 ONTAP 9.16.1 及更高版本,在运行卷还原之前,"清除可疑文件"。
清除可疑文件后,ARP 快照将保留 7 天(默认情况下)。如果您需要更多时间进行数据恢复,"调整 ARP 快照设置"将快照的保留时间增加到所需的值。完成所有数据恢复后,您可以减少保留时间。 -
选择你想要恢复的最新 ARP 快照旁边的
,然后选择 恢复。(Anti_ransomware -
对于 ONTAP 9.15.1 及更早版本,在还原完成后,"清除可疑文件"。
从早期快照还原
当您对最新快照缺乏信心并希望从早期快照还原时,请选择此流程。在从早期快照还原之前,请释放对最新 ARP 快照的锁定。
-
释放对最新 ARP 快照的锁定:
-
选择 * 存储 > 卷 * 。
-
选择*安全性*,然后选择*查看可疑文件类型*。
-
将文件标记为"潜在勒索软件攻击"。
-
选择 Update and Clear Suspected File Types。
如果您已经使用 "对ONTAP ARP检测到的异常活动做出响应" 中的步骤将活动归类为潜在的勒索软件攻击,您只需要在此处清除可疑的文件类型。
-
-
选择*存储>卷*,然后选择卷和*Snapshot副本*。
-
选择要还原的早期快照旁边的
,然后选择 Restore。
-
如果您要使用
volume snapshot restore`从早期快照还原,请将攻击标记为潜在勒索软件(-false-positive false`)并清除可疑文件以解除锁定:security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false使用以下参数之一来识别扩展:
-
[-seq-no integer]:可疑列表中文件的序列号。 -
[-extension text, … ]:文件扩展名 -
[-start-time date_time -end-time date_time]:需要清除的文件范围的开始和结束时间,格式为“MM/DD/YYYY HH:MM:SS”。
-
-
列出卷中的快照:
volume snapshot show -vserver <svm> -volume <volume>以下示例显示了中的快照
vol1:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
从快照还原卷的内容:
volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>以下示例将还原的内容
vol1:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
未识别出系统攻击时还原
当没有发现攻击时,首先从最近的 ARP 快照还原,然后从您选择的早期快照还原。
-
选择*存储>卷*,然后选择卷和*Snapshot副本*。
-
选择
,然后选择最新的 Anti_ransomware快照。 -
选择 * 还原 * 。
-
返回 Snapshot Copies 菜单,然后选择要使用的早期快照。
-
选择 * 还原 * 。
-
首先从最新的 ARP 快照还原:
-
列出卷中的快照:
volume snapshot show -vserver <svm> -volume <volume> -
从快照还原卷的内容:
volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>
-
-
选择要使用的早期快照,然后重复还原。
有关的详细信息 volume snapshot,请参见"ONTAP 命令参考"。