Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在勒索軟體攻擊之後,從 ONTAP ARP 快照還原資料

貢獻者 netapp-dbagwell netapp-aherbin netapp-ahibbard netapp-forry netapp-aaron-holt
PDF

自主勒索軟體防護(ARP)會建立 Snapshot 來抵禦潛在的勒索軟體威脅。您可以使用 ARP Snapshot 或磁碟區的其他 Snapshot 來還原資料。

關於這項工作

根據潛在攻擊情況,您可以透過以下方式之一還原資料:

ARP 會建立具有下列其中一個前置名稱的 Snapshot:

  • Anti_ransomware_periodic_backup :在ONTAP 9.17.1 及更高版本中用於定期建立的快照。例如, Anti_ransomware_periodic_backup.2025-06-01_1248

  • Anti_ransomware_attack_backup:在ONTAP 9.17.1 及更高版本中用於回應異常而建立的快照。例如, Anti_ransomware_attack_backup.2025-08-25_1248

  • Anti_ransomware_backup :在ONTAP 9.16.1 及更早版本中,用於為應對異常而建立的快照。例如, Anti_ransomware_backup.2022-12-20_1248

開始之前
步驟

當 ARP 偵測到異常情況需要還原資料時,請依照以下步驟操作:

選擇還原方法

根據資料損毀程度和您的操作需求,選擇一種或多種復原方法。

  • 磁碟區 Snapshot 還原:將整個磁碟區回滾到選定的 Snapshot(ARP 或排程)。這是最快的方法,但會移除還原點之後建立的所有 Snapshot。

  • 從乾淨的 Snapshot 建立 FlexClone:從選定的 Snapshot 建立複製磁碟區,保留原始磁碟區及其所有 Snapshot,以便進行鑑識分析或其他還原作業。建議將複製磁碟區與父磁碟區分離,以將受感染的父磁碟區與乾淨的複製磁碟區隔離。

    深入瞭解 "從快照建立 FlexClone 磁碟區""將 FlexClone 從其父級分離出來"

  • 單一檔案 SnapRestore:從快照還原個別檔案。每個檔案可以來自不同的快照。當受影響的檔案數量相對較少(數十到數百個檔案)時,這種方法非常實用。

    深入瞭解"從 Snapshot 還原單一檔案"

  • .snapshot 目錄複製資料:使用標準檔案複製作業將快照掛載點的資料複製到新磁碟區。此方法保留原始磁碟區和快照以供分析。

  • 混合方法:首先使用 SnapRestore 將磁碟區回滾到最近的乾淨快照,然後從另一個快照或外部備份中單獨還原任何剩餘的損壞檔案。

還原限制與考量事項

  • 對於 ONTAP 9.15.1 及更早版本,釋放 ARP 快照鎖定會立即刪除 ARP 快照。僅當您不打算從 ARP 快照還原時才釋放鎖定。

  • 只有在使用 `volume snapshot restore`時,才需要在從早期快照還原之前釋放反勒索軟體鎖定。FlexClone、單一檔案 SnapRestore、資料複製操作或類似方法則不需要。

SnapMirror 考量事項

  • 如果磁碟區是 ONTAP 9.19.1 RC 中 SnapMirror 同步或 SnapMirror 主動式同步 SAN 關係的一部分、且您計劃進行磁碟區層級還原、請先靜止"在還原之前中斷關係"、然後在還原後重新建立保護。

  • 如果從快照還原處於 SnapMirror 關係中的 ARP 保護磁碟區,請在還原後手動更新所有鏡像複本。否則,鏡像複本可能無法使用,需要刪除並重新建立。

有關完整的 SnapMirror 和 ARP 互通性行為(包括快照和故障轉移注意事項),請參閱"SnapMirror與ARP互通性"

系統攻擊後還原

對於 Volume Snapshot 還原,請根據 Snapshot 來源和具體情況選擇下列流程之一:

從最新的 ARP Snapshot 還原

當您可以自信地從最新的 ARP Snapshot(即可用於還原的最新 Snapshot)進行還原時,請選擇此流程。

系統管理員

  1. 選擇 * 儲存 > Volumes (磁碟區) * 、然後選擇 Volume (磁碟區)和 * Snapshot Copies ( * 快照複本) * 。

  2. 對於 ONTAP 9.16.1 及更高版本,在執行磁碟區還原之前,"清除可疑檔案"

    註 清除可疑檔案後,ARP 快照預設保留 7 天。如果需要更多時間進行資料恢復,"調整 ARP Snapshot 設定" 可以將快照保留時間增加到所需值。資料恢復完成後,您可以縮短保留時間。

  3. 選取最近的 ARP 快照旁的功能表選項圖示 (Anti_ransomware,然後選取 還原

  4. 對於 ONTAP 9.15.1 及更早版本,還原完成後,"清除可疑檔案"

CLI

  1. 列出磁碟區中的快照:

    volume snapshot show -vserver <svm> -volume <volume>

  2. 對於 ONTAP 9.16.1 及更高版本,在執行 `volume snapshot restore`之前,"清除可疑檔案"

  3. 從快照還原磁碟區的內容:

    volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>

  4. 對於 ONTAP 9.15.1 及更早版本,還原完成後,"清除可疑檔案"

從先前的 Snapshot 還原

如果您對最新的 Snapshot 缺乏信心,並希望從較早的 Snapshot 還原,請選擇此流程。在從較早的 Snapshot 還原之前,請先釋放對最新 ARP Snapshot 的鎖定。

系統管理員

  1. 解除最新 ARP Snapshot 的鎖定:

    1. 選擇*儲存>磁碟區*。

    2. 選擇 * 安全 * ,然後 * 檢視可疑的檔案類型 * 。

    3. 將檔案標記為「可能的勒索軟體攻擊」。

    4. 選擇 Update and Clear Suspected File Types

      註 如果您已經按照 "回應 ONTAP ARP 偵測到的異常活動" 中的步驟將該活動分類為潛在的勒索軟體攻擊,則只需在此處清除可疑的檔案類型即可。

  2. 選擇 * 儲存 > Volumes (磁碟區) * 、然後選擇 Volume (磁碟區)和 * Snapshot Copies ( * 快照複本) * 。

  3. 選擇要還原的較早快照旁邊的 功能表選項圖示,然後選取 Restore

CLI

  1. 如果您使用 volume snapshot restore`從先前的快照進行還原,請將攻擊標記為潛在的勒索軟體(-false-positive false`,並清除可疑檔案以釋放鎖定:

    security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

    使用以下參數之一來識別擴充:

    • [-seq-no integer] :可疑清單中文件的序號。

    • [-extension text, … ] :檔案副檔名

    • [-start-time date_time -end-time date_time] :需要清除的檔案範圍的開始和結束時間,格式為「MM/DD/YYYY HH:MM:SS」。

  2. 列出磁碟區中的快照:

    volume snapshot show -vserver <svm> -volume <volume>

    以下範例顯示中的快照 vol1

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  3. 從快照還原磁碟區的內容:

    volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>

    下列範例還原的內容 vol1

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

當未識別系統攻擊時進行還原

如果未發現攻擊,則首先從最新的 ARP Snapshot 還原,然後從您選擇的較早 Snapshot 還原。

系統管理員

  1. 選擇 * 儲存 > Volumes (磁碟區) * 、然後選擇 Volume (磁碟區)和 * Snapshot Copies ( * 快照複本) * 。

  2. 選取 功能表選項圖示 然後選擇最新的 Anti_ransomware Snapshot。

  3. 選擇*還原*。

  4. 返回 Snapshot Copies 選單,然後選擇要使用的較早快照。

  5. 選擇*還原*。

CLI

  1. 首先從最新的 ARP 快照還原:

    1. 列出磁碟區中的快照:

      volume snapshot show -vserver <svm> -volume <volume>

    2. 從快照還原磁碟區的內容:

      volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>

  2. 選擇要使用的較早 Snapshot 並重複還原。

"指令參考資料ONTAP"需詳細 `volume snapshot`資訊,請參閱。

相關資訊