랜섬웨어 공격 후 데이터 복원
변경 제안
PDF
ARP(자율적 랜섬웨어 방어)는 잠재적 랜섬웨어 위협을 감지할 때 이라는 이름의 스냅샷을 Anti_ransomware_backup 생성합니다. 이러한 ARP 스냅샷 중 하나 또는 볼륨의 다른 스냅샷을 사용하여 데이터를 복원할 수 있습니다.
볼륨에 SnapMirror 관계가 있는 경우 스냅샷에서 복구한 직후 볼륨의 모든 미러 복사본을 수동으로 복제합니다. 그렇지 않으면 미러 복사본을 사용할 수 없게 되므로 복사본을 삭제하고 다시 생성해야 합니다.
시스템 공격이 확인된 후 스냅샷 이외의 스냅샷에서 복원하려면 Anti_ransomware_backup 먼저 ARP 스냅샷을 해제해야 합니다.
시스템 공격이 보고되지 않은 경우 먼저 스냅샷에서 복원한 다음 선택한 스냅샷에서 볼륨의 후속 복원을 완료해야 Anti_ransomware_backup 합니다.
System Manager 또는 ONTAP CLI를 사용하여 데이터를 복원할 수 있습니다.
-
ARP 스냅샷에서 복원하려면 2단계로 건너뜁니다. 이전 스냅샷에서 복원하려면 먼저 ARP 스냅샷의 잠금을 해제해야 합니다.
-
스토리지 > 볼륨 * 을 선택합니다.
-
보안 * 을 선택한 다음 * 의심되는 파일 형식 보기 * 를 선택합니다.
-
파일을 "잠재적 랜섬웨어 공격"으로 표시합니다.
-
Update * 및 * Clear Suspect File Types * 를 선택합니다.
-
-
볼륨에 스냅샷을 표시합니다.
스토리지 > 볼륨 * 을 선택한 다음 볼륨 및 * Snapshot 복사본 * 을 선택합니다.
-
복원하려는 스냅샷 옆에 있는 을 선택한 다음 * Restore * 를 선택합니다
.
-
볼륨에 스냅샷을 표시합니다.
스토리지 > 볼륨 * 을 선택한 다음 볼륨 및 * Snapshot 복사본 * 을 선택합니다.
-
`Anti_ransomware_backup`스냅샷을 선택합니다
. -
Restore * 를 선택합니다.
-
Snapshot Copies * 메뉴로 돌아간 다음 사용할 스냅샷을 선택합니다. Restore * 를 선택합니다.
-
ARP 스냅샷에서 복원하려면 2단계로 건너뜁니다. 이전 스냅샷에서 데이터를 복원하려면 ARP 스냅샷의 잠금을 해제해야 합니다.
아래에 설명된 명령을 사용하는 경우 이전 스냅샷에서 복원하기 전에 랜섬웨어 방지 SnapLock를 해제하면 volume snap restore됩니다. FlexClone, 단일 파일 스냅 복원 또는 다른 방법을 사용하여 데이터를 복원하는 경우에는 이 작업이 필요하지 않습니다.공격을 잠재적 랜섬웨어 공격으로 (
-false-positive false`표시하고 의심스러운 파일을 (`clear-suspect`삭제합니다.): 다음 매개 변수 중 하나를 사용하여 확장자를 식별합니다.의심되는 목록에 있는 파일의 시퀀스 번호입니다
`anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false
[-extension text, … ].
[-seq-no integer]지울 파일
[-start-time date_time -end-time date_time]범위의 시작 및 종료 시간(예: "MM/DD/YYYY HH:MM:SS" 형식). -
볼륨의 스냅샷 복사본을 나열합니다.
volume snapshot show -vserver <SVM> -volume <volume>다음 예에서는 "vol1"의 스냅샷 복사본을 보여 줍니다.
clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
스냅샷 복사본에서 볼륨 콘텐츠를 복원합니다.
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>다음 예에서는 vol1의 내용을 복원합니다.
cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
볼륨의 스냅샷 복사본을 나열합니다.
volume snapshot show -vserver <SVM> -volume <volume>다음 예에서는 "vol1"의 스냅샷 복사본을 보여 줍니다.
clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
스냅샷 복사본에서 볼륨 콘텐츠를 복원합니다.
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>다음 예에서는 vol1의 내용을 복원합니다.
cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
1단계와 2단계를 반복하여 원하는 스냅샷을 사용하여 볼륨을 복원합니다.