Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在勒索軟體攻擊之後,從 ONTAP ARP 快照還原資料

貢獻者 netapp-dbagwell netapp-aherbin netapp-ahibbard netapp-forry netapp-aaron-holt
PDF

自主勒索軟體防護 (ARP) 會建立快照來防禦潛在的勒索軟體威脅。您可以使用其中一個 ARP 快照或磁碟區的其他快照來還原資料。

關於這項工作

ARP 使用以下前綴名稱之一建立快照:

  • Anti_ransomware_periodic_backup :在ONTAP 9.17.1 及更高版本中用於定期建立的快照。例如, Anti_ransomware_periodic_backup.2025-06-01_1248

  • Anti_ransomware_backup :在ONTAP 9.16.1 及更早版本中,用於為應對異常而建立的快照。例如, Anti_ransomware_backup.2022-12-20_1248

要從快照中恢復, `Anti_ransomware`快照 辨識出系統攻擊後,必須先釋放ARP快照。

如果沒有報告系統攻擊,您必須先從 `Anti_ransomware`快照,然後從您選擇的快照完成磁碟區的後續還原。

註 如果受 ARP 保護的磁碟區屬於SnapMirror關係,則從快照還原磁碟區後,您需要手動更新該磁碟區的所有映像副本。如果跳過此步驟,鏡像副本可能會變得不可用,需要刪除並重新建立。
開始之前

"您必須將攻擊標記為潛在的勒索軟體攻擊"從快照恢復資料之前。

步驟

您可以使用System Manager或ONTAP NetApp CLI來還原資料。

系統管理員
系統攻擊後還原

  1. 若要從 ARP 快照還原,請跳至步驟二。若要從較早的快照還原,您必須先釋放 ARP 快照的鎖定。

    1. 選擇*儲存>磁碟區*。

    2. 選擇 * 安全 * ,然後 * 檢視可疑的檔案類型 * 。

    3. 將檔案標記為「可能的勒索軟體攻擊」。

    4. 選擇 * 更新 * 和 * 清除可疑檔案類型 * 。

  2. 在磁碟區中顯示快照:

    選擇 * 儲存 > Volumes (磁碟區) * 、然後選擇 Volume (磁碟區)和 * Snapshot Copies ( * 快照複本) * 。

  3. 選取功能表選項圖示您要還原的快照旁的 * 還原 * 。

如果未識別出系統攻擊、請進行還原

  1. 在磁碟區中顯示快照:

    選擇 * 儲存 > Volumes (磁碟區) * 、然後選擇 Volume (磁碟區)和 * Snapshot Copies ( * 快照複本) * 。

  2. 選擇功能表選項圖示然後選擇 `Anti_ransomware`快照。

  3. 選擇*還原*。

  4. 返回 * Snapshot Copies (快照複本) * 功能表,然後選擇您要使用的快照。選擇*還原*。

CLI
系統攻擊後還原

若要從 ARP 快照還原,請跳至步驟二。若要還原舊版快照的資料,您必須釋放 ARP 快照的鎖定。

註 如果您使用的命令如下所述,則只有在從先前的快照還原之前,才需要先釋放反勒索軟體 SnapLock volume snapshot restore 。如果您使用 FlexClone ,單一檔案貼齊還原或其他方法還原資料,則不需要這麼做。

  1. 將攻擊標記為潛在的勒索軟體攻擊(-false-positive false )並清除可疑文件(clear-suspect ):

    anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

    使用以下參數之一來識別擴充:

    • [-seq-no integer] :可疑清單中文件的序號。

    • [-extension text, … ] :檔案副檔名

    • [-start-time date_time -end-time date_time] :需要清除的檔案範圍的開始和結束時間,格式為「MM/DD/YYYY HH:MM:SS」。

  2. 列出磁碟區中的快照:

    volume snapshot show -vserver <SVM> -volume <volume>

    以下範例顯示中的快照 vol1

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  3. 從快照還原磁碟區的內容:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    下列範例還原的內容 vol1

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
如果未識別出系統攻擊、請進行還原

  1. 列出磁碟區中的快照:

    volume snapshot show -vserver <SVM> -volume <volume>

    以下範例顯示中的快照 vol1

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  2. 從快照還原磁碟區的內容:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    下列範例還原的內容 vol1

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

"指令參考資料ONTAP"需詳細 `volume snapshot`資訊,請參閱。

相關資訊