Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

랜섬웨어 공격 후 ONTAP ARP 스냅샷에서 데이터를 복원합니다

기여자 netapp-dbagwell netapp-aherbin netapp-ahibbard netapp-forry netapp-aaron-holt

자율 랜섬웨어 보호(ARP)는 잠재적인 랜섬웨어 위협으로부터 보호하기 위해 스냅샷을 생성합니다. 이러한 ARP 스냅샷 중 하나 또는 볼륨의 다른 스냅샷을 사용하여 데이터를 복원할 수 있습니다.

이 작업에 대해

ARP는 다음 이름 중 하나를 접두사로 사용하여 스냅샷을 생성합니다.

  • Anti_ransomware_periodic_backup : ONTAP 9.17.1 이상에서 정기적으로 생성되는 스냅샷에 사용됩니다. 예를 들어, Anti_ransomware_periodic_backup.2025-06-01_1248 .

  • Anti_ransomware_backup : ONTAP 9.16.1 이하 버전에서 비정상 상황에 대응하여 생성되는 스냅샷과 함께 사용됩니다. 예를 들어, Anti_ransomware_backup.2022-12-20_1248 .

스냅샷 이외의 스냅샷에서 복원하려면 Anti_ransomware 시스템 공격이 식별된 후 스냅샷을 먼저 공개해야 합니다.

시스템 공격이 보고되지 않으면 먼저 다음에서 복원해야 합니다. Anti_ransomware 스냅샷을 만든 다음 선택한 스냅샷에서 볼륨의 후속 복원을 완료합니다.

참고 ARP 보호 볼륨이 SnapMirror 관계에 속한 경우, 스냅샷에서 볼륨을 복원한 후 해당 볼륨의 모든 미러 사본을 수동으로 업데이트해야 합니다. 이 단계를 건너뛰면 미러 사본을 사용할 수 없게 되어 삭제했다가 다시 만들어야 할 수 있습니다.
시작하기 전에

"해당 공격을 잠재적인 랜섬웨어 공격으로 표시해야 합니다." 스냅샷에서 데이터를 복원하기 전에.

단계

System Manager 또는 ONTAP CLI를 사용하여 데이터를 복원할 수 있습니다.

시스템 관리자
시스템 공격 후 복원
  1. ARP 스냅샷에서 복원하려면 2단계로 건너뜁니다. 이전 스냅샷에서 복원하려면 먼저 ARP 스냅샷의 잠금을 해제해야 합니다.

    1. 스토리지 > 볼륨 * 을 선택합니다.

    2. 보안 * 을 선택한 다음 * 의심되는 파일 형식 보기 * 를 선택합니다.

    3. 파일을 "잠재적 랜섬웨어 공격"으로 표시합니다.

    4. Update * 및 * Clear Suspect File Types * 를 선택합니다.

  2. 볼륨에 스냅샷을 표시합니다.

    스토리지 > 볼륨 * 을 선택한 다음 볼륨 및 * Snapshot 복사본 * 을 선택합니다.

  3. 복원하려는 스냅샷 옆에 있는 을 선택한 다음 * Restore * 를 선택합니다메뉴 옵션 아이콘.

시스템 공격이 확인되지 않은 경우 복원합니다
  1. 볼륨에 스냅샷을 표시합니다.

    스토리지 > 볼륨 * 을 선택한 다음 볼륨 및 * Snapshot 복사본 * 을 선택합니다.

  2. 선택하다 메뉴 옵션 아이콘 그런 다음 선택하세요 Anti_ransomware 스냅 사진.

  3. Restore * 를 선택합니다.

  4. Snapshot Copies * 메뉴로 돌아간 다음 사용할 스냅샷을 선택합니다. Restore * 를 선택합니다.

CLI를 참조하십시오
시스템 공격 후 복원

ARP 스냅샷에서 복원하려면 2단계로 건너뜁니다. 이전 스냅샷에서 데이터를 복원하려면 ARP 스냅샷의 잠금을 해제해야 합니다.

참고 아래에 설명된 명령을 사용하는 경우 이전 스냅샷에서 복원하기 전에 랜섬웨어 방지 SnapLock를 해제하면 volume snapshot restore 됩니다. FlexClone, 단일 파일 스냅 복원 또는 다른 방법을 사용하여 데이터를 복원하는 경우에는 이 작업이 필요하지 않습니다.
  1. 공격을 잠재적인 랜섬웨어 공격으로 표시 (-false-positive false ) 및 의심스러운 파일 삭제 (clear-suspect ):

    anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

    다음 매개변수 중 하나를 사용하여 확장자를 식별하세요.

    • [-seq-no integer] : 의심 목록에 있는 파일의 일련 번호입니다.

    • [-extension text, … ] : 파일 확장자

    • [-start-time date_time -end-time date_time] : 지울 파일 범위의 시작 및 종료 시간(형식: "MM/DD/YYYY HH:MM:SS")입니다.

  2. 볼륨의 스냅샷을 나열합니다.

    volume snapshot show -vserver <SVM> -volume <volume>

    다음 예에서는 의 스냅샷을 vol1 보여 줍니다.

    clus1::> volume snapshot show -vserver vs1 -volume vol1
    
    Vserver Volume Snapshot                State    Size  Total% Used%
    ------- ------ ---------- ----------- ------   -----  ------ -----
    vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
                   daily.2013-01-25_0010   valid   92KB      0%    0%
                   hourly.2013-01-25_0105  valid   228KB     0%    0%
                   hourly.2013-01-25_0205  valid   236KB     0%    0%
                   hourly.2013-01-25_0305  valid   244KB     0%    0%
                   hourly.2013-01-25_0405  valid   244KB     0%    0%
                   hourly.2013-01-25_0505  valid   244KB     0%    0%
    
    7 entries were displayed.
  3. 스냅숏에서 볼륨의 내용 복원:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    다음 예에서는 vol1의 내용을 복원합니다.

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
시스템 공격이 확인되지 않은 경우 복원합니다
  1. 볼륨의 스냅샷을 나열합니다.

    volume snapshot show -vserver <SVM> -volume <volume>

    다음 예에서는 의 스냅샷을 vol1 보여 줍니다.

    clus1::> volume snapshot show -vserver vs1 -volume vol1
    
    Vserver Volume Snapshot                State    Size  Total% Used%
    ------- ------ ---------- ----------- ------   -----  ------ -----
    vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
                   daily.2013-01-25_0010   valid   92KB      0%    0%
                   hourly.2013-01-25_0105  valid   228KB     0%    0%
                   hourly.2013-01-25_0205  valid   236KB     0%    0%
                   hourly.2013-01-25_0305  valid   244KB     0%    0%
                   hourly.2013-01-25_0405  valid   244KB     0%    0%
                   hourly.2013-01-25_0505  valid   244KB     0%    0%
    
    7 entries were displayed.
  2. 스냅숏에서 볼륨의 내용 복원:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    다음 예에서는 vol1의 내용을 복원합니다.

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

에 대한 자세한 내용은 volume snapshot "ONTAP 명령 참조입니다"을 참조하십시오.