勒索軟體攻擊後還原資料
建議變更
PDF
自主勒索軟體保護( ARP )會在偵測到可能的勒索軟體威脅時,建立名為的快照 Anti_ransomware_backup。您可以使用這些 ARP 快照或磁碟區的另一個快照來還原資料。
如果磁碟區具有 SnapMirror 關係,請在從快照還原後立即手動複寫磁碟區的所有鏡射複本。否則可能導致無法使用的鏡像複本、必須刪除並重新建立。
若要在識別出系統攻擊後從快照以外的快照還原 Anti_ransomware_backup,您必須先發行 ARP 快照。
如果未報告系統攻擊,您必須先從快照還原 Anti_ransomware_backup,然後從您選擇的快照完成後續的磁碟區還原。
您可以使用System Manager或ONTAP NetApp CLI來還原資料。
-
若要從 ARP 快照還原,請跳至步驟二。若要從較早的快照還原,您必須先釋放 ARP 快照的鎖定。
-
選擇*儲存>磁碟區*。
-
選擇 * 安全 * ,然後 * 檢視可疑的檔案類型 * 。
-
將檔案標記為「可能的勒索軟體攻擊」。
-
選擇 * 更新 * 和 * 清除可疑檔案類型 * 。
-
-
在磁碟區中顯示快照:
選擇 * 儲存 > Volumes (磁碟區) * 、然後選擇 Volume (磁碟區)和 * Snapshot Copies ( * 快照複本) * 。
-
選取
您要還原的快照旁的 * 還原 * 。
-
在磁碟區中顯示快照:
選擇 * 儲存 > Volumes (磁碟區) * 、然後選擇 Volume (磁碟區)和 * Snapshot Copies ( * 快照複本) * 。
-
選擇
它們選擇 `Anti_ransomware_backup`快照。 -
選擇*還原*。
-
返回 * Snapshot Copies (快照複本) * 功能表,然後選擇您要使用的快照。選擇*還原*。
-
若要從 ARP 快照還原,請跳至步驟二。若要還原舊版快照的資料,您必須釋放 ARP 快照的鎖定。
如果您使用的命令如下所述,則只有在從先前的快照還原之前,才需要先釋放反勒索軟體 SnapLock volume snap restore。如果您使用 FlexClone ,單一檔案貼齊還原或其他方法還原資料,則不需要這麼做。將攻擊標記為可能的勒索軟體攻擊(
-false-positive false)並清除可疑檔案(clear-suspect):
`anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false`使用下列其中一個參數來識別副檔名:
`[-seq-no integer]`可疑清單中檔案的序號。
`[-extension text, … ]`要清除之檔案範圍的檔案副檔名
`[-start-time date_time -end-time date_time]`開始和結束時間,格式為「 MM/DD/YYYY HH : MM : SS 」。 -
列出Volume中的Snapshot複本:
volume snapshot show -vserver <SVM> -volume <volume>下列範例顯示中的 Snapshot 複本
vol1:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
從Snapshot複本還原磁碟區內容:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>下列範例還原的內容
vol1:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
列出Volume中的Snapshot複本:
volume snapshot show -vserver <SVM> -volume <volume>下列範例顯示中的 Snapshot 複本
vol1:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
從Snapshot複本還原磁碟區內容:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>下列範例還原的內容
vol1:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
重複步驟 1 和 2 ,使用所需的快照還原磁碟區。