更新时间:2023-06-14
功能说明
- 云安全中心提供向导化的勒索应急恢复流程,无需专家介入即可快速安全的恢复业务。
- 云安全中心采用链接克隆的方式进行业务验证,能够秒级完成创建,过程中不额外占用存储空间,环境完全独立,过程中恢复到带毒时间点也不会导致病毒扩散。
- 在确定恢复点并执行恢复后,整个过程被加密资产与其他资产严格隔离,恢复完成病毒查杀确认安全后才解除隔离上线。
前提条件
无
注意事项
勒索应急恢复的快照数据与当前数据存在时间差,回滚快照会造成数据丢失。在正式业务场景下,请评估勒索影响决定是否回滚快照。
操作步骤
- 在[资产中心]列表中,勾选存在勒索病毒的虚拟机,点击<勒索应急恢复>。
- 首先需对虚拟机进行紧急隔离操作,以防止勒索行为进一步横向扩散。点击<紧急隔离>按钮,完成隔离后,点击<下一步>。
- 在进行勒索应急恢复前,点击<创建快照>按钮,为虚拟机打快照,恢复完成之后能够尝试通过此快照找回加密数据。
- 快照创建完成后,点击<下一步>,对虚拟机进行恢复。这里会展示该虚拟机的全部快照,当平台检测到资产安全防护组件异常、疑似中勒索病毒时会自动触发快照,创建名为“疑似勒索快照XXX”的快照,点击<预览>按钮,平台将新建链接克隆虚拟机,克隆完成后,点击<控制台>按钮,进入虚拟机内部,可以查看该虚拟机是否被加密,若未被加密,则点击<开始恢复>,输入admin密码进行恢复。
- 点击<确定>按钮后,平台会自动删除上一步预览时创建的所有链接克隆虚拟机后,恢复所选择的虚拟机快照。
- 快照恢复后点击<下一步>,进入病毒扫描页面。这里建议对恢复后的虚拟机再次进行全盘扫描,若发现安全事件,可以立即处置。
- 对于扫描出来的安全事件,可以点击上方<处置>/<信任>/<忽略>按钮,进行安全事件处置,建议安全事件处置完成后点击<重新扫描>按钮,再次进行病毒扫描,确认所有安全事件均已处置完毕后,点击<下一步>进入网络恢复。
- 在恢复网络前,由于当前虚拟机数据已恢复,为避免二次感染,建议排查并确认相连的其他虚拟机安全状态无误后,再点击<恢复网络>按钮。网络恢复后,虚拟机将退出隔离模式。