勒索軟體攻擊後還原資料
自主勒索軟體保護( ARP )會建立名為的 Snapshot 複本 Anti_ransomware_backup
當偵測到可能的勒索軟體威脅時。您可以使用這些 ARP Snapshot 複本或磁碟區的另一個 Snapshot 複本來還原資料。
如果磁碟區具有SnapMirror關係、請在從Snapshot複本還原之後、立即手動複寫磁碟區的所有鏡射複本。否則可能導致無法使用的鏡像複本、必須刪除並重新建立。
從非的 Snapshot 還原 Anti_ransomware_backup
在識別出系統攻擊之後、您必須先發行 ARP Snapshot 。
如果未回報系統攻擊、您必須先從還原 Anti_ransomware_backup
然後、 Snapshot 複本會從您選擇的 Snapshot 複本完成磁碟區的後續還原。
您可以使用System Manager或ONTAP NetApp CLI來還原資料。
-
若要從 ARP Snapshot 還原、請跳至步驟二。若要從較早的 Snapshot 複本還原、您必須先釋放 ARP Snapshot 上的鎖定。
-
選擇*儲存>磁碟區*。
-
選擇 * 安全 * 、然後 * 檢視可疑的檔案類型 *
-
將檔案標示為「誤判」。
-
選擇 * 更新 * 和 * 清除可疑檔案類型 *
-
-
在磁碟區中顯示Snapshot複本:
選擇 * 儲存 > Volumes (磁碟區) * 、然後選擇 Volume (磁碟區)和 * Snapshot Copies ( * 快照複本) * 。
-
選取您要還原的 Snapshot 複本旁邊的,然後選取 * Restore * 。
-
在磁碟區中顯示Snapshot複本:
選擇 * 儲存 > Volumes (磁碟區) * 、然後選擇 Volume (磁碟區)和 * Snapshot Copies ( * 快照複本) * 。
-
選擇 它們選擇
Anti_ransomware_backup
「快照」。 -
選擇*還原*。
-
返回 * Snapshot Copies (快照複本) * 功能表、然後選擇您要使用的 Snapshot 複本。選擇*還原*。
-
若要從 ARP Snapshot 複本還原、請跳至步驟二。若要還原舊版 Snapshot 複本的資料、您必須釋放 ARP Snapshot 上的鎖定。
如果您使用的 `volume snap restore`命令如下所述、則只有在從舊版 Snapshot 複本還原之前、才需要先釋放反勒索軟體 SnapLock 。如果您是使用 Flex Clone 、單一檔案快照還原或其他方法還原資料、則不需要這麼做。 將攻擊標示為「誤判」和「明確懷疑」:
anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
使用下列其中一個參數來識別副檔名:
[-seq-no integer]
可疑清單中檔案的序號。
[-extension text, … ]
副檔名
[-start-time date_time -end-time date_time]
要清除之檔案範圍的開始和結束時間、格式為「 MM/DD/YYYY HH : MM : SS 」。 -
列出Volume中的Snapshot複本:
volume snapshot show -vserver <SVM> -volume <volume>
下列範例顯示中的 Snapshot 複本
vol1
:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed.
-
從Snapshot複本還原磁碟區內容:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>
下列範例還原的內容
vol1
:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
列出Volume中的Snapshot複本:
volume snapshot show -vserver <SVM> -volume <volume>
下列範例顯示中的 Snapshot 複本
vol1
:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed.
-
從Snapshot複本還原磁碟區內容:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>
下列範例還原的內容
vol1
:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
重複步驟 1 和 2 、使用所需的 Snapshot 複本還原磁碟區。