超融合HCI

深信服超融合SANGFOR HCI是面向下一代数据中心的软件定义基础架构,通过虚拟化技术融合计算、存储、网络和安全等资源,并提供运维管理、容灾备份、智能监控等高级特性,帮助用户构建极简、稳定、高性能的云化数据中心基石。
点击可切换产品版本
知道了
不再提醒
HCI6.9.0
{{sendMatomoQuery("超融合HCI","勒索应急恢复")}}

勒索应急恢复

更新时间:2023-06-14

功能说明

  1. 云安全中心提供向导化的勒索应急恢复流程,无需专家介入即可快速安全的恢复业务。
  2. 云安全中心采用链接克隆的方式进行业务验证,能够秒级完成创建,过程中不额外占用存储空间,环境完全独立,过程中恢复到带毒时间点也不会导致病毒扩散。
  3. 在确定恢复点并执行恢复后,整个过程被加密资产与其他资产严格隔离,恢复完成病毒查杀确认安全后才解除隔离上线。

前提条件

注意事项

勒索应急恢复的快照数据与当前数据存在时间差,回滚快照会造成数据丢失。在正式业务场景下,请评估勒索影响决定是否回滚快照。

操作步骤

  1. [资产中心]列表中,勾选存在勒索病毒的虚拟机,点击<勒索应急恢复>

  1. 首先需对虚拟机进行紧急隔离操作,以防止勒索行为进一步横向扩散。点击<紧急隔离>按钮,完成隔离后,点击<下一步>

  1. 在进行勒索应急恢复前,点击<创建快照>按钮,为虚拟机打快照,恢复完成之后能够尝试通过此快照找回加密数据。

  1. 快照创建完成后,点击<下一步>,对虚拟机进行恢复。这里会展示该虚拟机的全部快照,当平台检测到资产安全防护组件异常、疑似中勒索病毒时会自动触发快照,创建名为“疑似勒索快照XXX”的快照,点击<预览>按钮,平台将新建链接克隆虚拟机,克隆完成后,点击<控制台>按钮,进入虚拟机内部,可以查看该虚拟机是否被加密,若未被加密,则点击<开始恢复>,输入admin密码进行恢复。

  1. 点击<确定>按钮后,平台会自动删除上一步预览时创建的所有链接克隆虚拟机后,恢复所选择的虚拟机快照。

  1. 快照恢复后点击<下一步>,进入病毒扫描页面。这里建议对恢复后的虚拟机再次进行全盘扫描,若发现安全事件,可以立即处置。

  1. 对于扫描出来的安全事件,可以点击上方<处置>/<信任>/<忽略>按钮,进行安全事件处置,建议安全事件处置完成后点击<重新扫描>按钮,再次进行病毒扫描,确认所有安全事件均已处置完毕后,点击<下一步>进入网络恢复。

  1. 在恢复网络前,由于当前虚拟机数据已恢复,为避免二次感染,建议排查并确认相连的其他虚拟机安全状态无误后,再点击<恢复网络>按钮。网络恢复后,虚拟机将退出隔离模式。