랜섬웨어 공격 후 ONTAP ARP 스냅샷에서 데이터를 복원합니다
자율 랜섬웨어 보호(ARP)는 잠재적인 랜섬웨어 위협으로부터 보호하기 위해 스냅샷을 생성합니다. 이러한 ARP 스냅샷 중 하나 또는 볼륨의 다른 스냅샷을 사용하여 데이터를 복원할 수 있습니다.
ARP는 다음 이름 중 하나를 접두사로 사용하여 스냅샷을 생성합니다.
-
Anti_ransomware_periodic_backup
: ONTAP 9.17.1 이상에서 정기적으로 생성되는 스냅샷에 사용됩니다. 예를 들어,Anti_ransomware_periodic_backup.2025-06-01_1248
. -
Anti_ransomware_backup
: ONTAP 9.16.1 이하 버전에서 비정상 상황에 대응하여 생성되는 스냅샷과 함께 사용됩니다. 예를 들어,Anti_ransomware_backup.2022-12-20_1248
.
스냅샷 이외의 스냅샷에서 복원하려면 Anti_ransomware
시스템 공격이 식별된 후 스냅샷을 먼저 공개해야 합니다.
시스템 공격이 보고되지 않으면 먼저 다음에서 복원해야 합니다. Anti_ransomware
스냅샷을 만든 다음 선택한 스냅샷에서 볼륨의 후속 복원을 완료합니다.
|
ARP 보호 볼륨이 SnapMirror 관계에 속한 경우, 스냅샷에서 볼륨을 복원한 후 해당 볼륨의 모든 미러 사본을 수동으로 업데이트해야 합니다. 이 단계를 건너뛰면 미러 사본을 사용할 수 없게 되어 삭제했다가 다시 만들어야 할 수 있습니다. |
"해당 공격을 잠재적인 랜섬웨어 공격으로 표시해야 합니다." 스냅샷에서 데이터를 복원하기 전에.
System Manager 또는 ONTAP CLI를 사용하여 데이터를 복원할 수 있습니다.
-
ARP 스냅샷에서 복원하려면 2단계로 건너뜁니다. 이전 스냅샷에서 복원하려면 먼저 ARP 스냅샷의 잠금을 해제해야 합니다.
-
스토리지 > 볼륨 * 을 선택합니다.
-
보안 * 을 선택한 다음 * 의심되는 파일 형식 보기 * 를 선택합니다.
-
파일을 "잠재적 랜섬웨어 공격"으로 표시합니다.
-
Update * 및 * Clear Suspect File Types * 를 선택합니다.
-
-
볼륨에 스냅샷을 표시합니다.
스토리지 > 볼륨 * 을 선택한 다음 볼륨 및 * Snapshot 복사본 * 을 선택합니다.
-
복원하려는 스냅샷 옆에 있는 을 선택한 다음 * Restore * 를 선택합니다
.
-
볼륨에 스냅샷을 표시합니다.
스토리지 > 볼륨 * 을 선택한 다음 볼륨 및 * Snapshot 복사본 * 을 선택합니다.
-
선택하다
그런 다음 선택하세요
Anti_ransomware
스냅 사진. -
Restore * 를 선택합니다.
-
Snapshot Copies * 메뉴로 돌아간 다음 사용할 스냅샷을 선택합니다. Restore * 를 선택합니다.
ARP 스냅샷에서 복원하려면 2단계로 건너뜁니다. 이전 스냅샷에서 데이터를 복원하려면 ARP 스냅샷의 잠금을 해제해야 합니다.
|
아래에 설명된 명령을 사용하는 경우 이전 스냅샷에서 복원하기 전에 랜섬웨어 방지 SnapLock를 해제하면 volume snapshot restore 됩니다. FlexClone, 단일 파일 스냅 복원 또는 다른 방법을 사용하여 데이터를 복원하는 경우에는 이 작업이 필요하지 않습니다.
|
-
공격을 잠재적인 랜섬웨어 공격으로 표시 (
-false-positive false
) 및 의심스러운 파일 삭제 (clear-suspect
):anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false
다음 매개변수 중 하나를 사용하여 확장자를 식별하세요.
-
[-seq-no integer]
: 의심 목록에 있는 파일의 일련 번호입니다. -
[-extension text, … ]
: 파일 확장자 -
[-start-time date_time -end-time date_time]
: 지울 파일 범위의 시작 및 종료 시간(형식: "MM/DD/YYYY HH:MM:SS")입니다.
-
-
볼륨의 스냅샷을 나열합니다.
volume snapshot show -vserver <SVM> -volume <volume>
다음 예에서는 의 스냅샷을
vol1
보여 줍니다.clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed.
-
스냅숏에서 볼륨의 내용 복원:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>
다음 예에서는 vol1의 내용을 복원합니다.
cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
볼륨의 스냅샷을 나열합니다.
volume snapshot show -vserver <SVM> -volume <volume>
다음 예에서는 의 스냅샷을
vol1
보여 줍니다.clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed.
-
스냅숏에서 볼륨의 내용 복원:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>
다음 예에서는 vol1의 내용을 복원합니다.
cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
에 대한 자세한 내용은 volume snapshot
"ONTAP 명령 참조입니다"을 참조하십시오.