Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

勒索軟體攻擊後還原資料

貢獻者

自主勒索軟體保護( ARP )會建立名為的 Snapshot 複本 Anti_ransomware_backup 當偵測到可能的勒索軟體威脅時。您可以使用這些 ARP Snapshot 複本或磁碟區的另一個 Snapshot 複本來還原資料。

關於這項工作

如果磁碟區具有SnapMirror關係、請在從Snapshot複本還原之後、立即手動複寫磁碟區的所有鏡射複本。否則可能導致無法使用的鏡像複本、必須刪除並重新建立。

從非的 Snapshot 還原 Anti_ransomware_backup 在識別出系統攻擊之後、您必須先發行 ARP Snapshot 。

如果未回報系統攻擊、您必須先從還原 Anti_ransomware_backup 然後、 Snapshot 複本會從您選擇的 Snapshot 複本完成磁碟區的後續還原。

步驟

您可以使用System Manager或ONTAP NetApp CLI來還原資料。

系統管理員
系統攻擊後還原
  1. 若要從 ARP Snapshot 還原、請跳至步驟二。若要從較早的 Snapshot 複本還原、您必須先釋放 ARP Snapshot 上的鎖定。

    1. 選擇*儲存>磁碟區*。

    2. 選擇 * 安全 * 、然後 * 檢視可疑的檔案類型 *

    3. 將檔案標示為「誤判」。

    4. 選擇 * 更新 * 和 * 清除可疑檔案類型 *

  2. 在磁碟區中顯示Snapshot複本:

    選擇 * 儲存 > Volumes (磁碟區) * 、然後選擇 Volume (磁碟區)和 * Snapshot Copies ( * 快照複本) * 。

  3. 選取您要還原的 Snapshot 複本旁邊的,然後選取 功能表選項圖示 * Restore * 。

如果未識別出系統攻擊、請進行還原
  1. 在磁碟區中顯示Snapshot複本:

    選擇 * 儲存 > Volumes (磁碟區) * 、然後選擇 Volume (磁碟區)和 * Snapshot Copies ( * 快照複本) * 。

  2. 選擇 功能表選項圖示 它們選擇 Anti_ransomware_backup 「快照」。

  3. 選擇*還原*。

  4. 返回 * Snapshot Copies (快照複本) * 功能表、然後選擇您要使用的 Snapshot 複本。選擇*還原*。

CLI
系統攻擊後還原
  1. 若要從 ARP Snapshot 複本還原、請跳至步驟二。若要還原舊版 Snapshot 複本的資料、您必須釋放 ARP Snapshot 上的鎖定。

    註 如果您使用的 `volume snap restore`命令如下所述、則只有在從舊版 Snapshot 複本還原之前、才需要先釋放反勒索軟體 SnapLock 。如果您是使用 Flex Clone 、單一檔案快照還原或其他方法還原資料、則不需要這麼做。

    將攻擊標示為「誤判」和「明確懷疑」:
    anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
    使用下列其中一個參數來識別副檔名:
    [-seq-no integer] 可疑清單中檔案的序號。
    [-extension text, … ] 副檔名
    [-start-time date_time -end-time date_time] 要清除之檔案範圍的開始和結束時間、格式為「 MM/DD/YYYY HH : MM : SS 」。

  2. 列出Volume中的Snapshot複本:

    volume snapshot show -vserver <SVM> -volume <volume>

    下列範例顯示中的 Snapshot 複本 vol1

    clus1::> volume snapshot show -vserver vs1 -volume vol1
    
    Vserver Volume Snapshot                State    Size  Total% Used%
    ------- ------ ---------- ----------- ------   -----  ------ -----
    vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
                   daily.2013-01-25_0010   valid   92KB      0%    0%
                   hourly.2013-01-25_0105  valid   228KB     0%    0%
                   hourly.2013-01-25_0205  valid   236KB     0%    0%
                   hourly.2013-01-25_0305  valid   244KB     0%    0%
                   hourly.2013-01-25_0405  valid   244KB     0%    0%
                   hourly.2013-01-25_0505  valid   244KB     0%    0%
    
    7 entries were displayed.
  3. 從Snapshot複本還原磁碟區內容:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    下列範例還原的內容 vol1

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
如果未識別出系統攻擊、請進行還原
  1. 列出Volume中的Snapshot複本:

    volume snapshot show -vserver <SVM> -volume <volume>

    下列範例顯示中的 Snapshot 複本 vol1

    clus1::> volume snapshot show -vserver vs1 -volume vol1
    
    Vserver Volume Snapshot                State    Size  Total% Used%
    ------- ------ ---------- ----------- ------   -----  ------ -----
    vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
                   daily.2013-01-25_0010   valid   92KB      0%    0%
                   hourly.2013-01-25_0105  valid   228KB     0%    0%
                   hourly.2013-01-25_0205  valid   236KB     0%    0%
                   hourly.2013-01-25_0305  valid   244KB     0%    0%
                   hourly.2013-01-25_0405  valid   244KB     0%    0%
                   hourly.2013-01-25_0505  valid   244KB     0%    0%
    
    7 entries were displayed.
  2. 從Snapshot複本還原磁碟區內容:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    下列範例還原的內容 vol1

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
  3. 重複步驟 1 和 2 、使用所需的 Snapshot 複本還原磁碟區。