功能说明

1. 云安全中心提供向导化的勒索应急恢复流程，无需专家介入即可快速安全的恢复业务。

2. 云安全中心采用链接克隆的方式进行业务验证，能够秒级完成创建，过程中不额外占用存储空间，环境完全独立，过程中恢复到带毒时间点也不会导致病毒扩散。
3. 在确定恢复点并执行恢复后，整个过程被加密资产与其他资产严格隔离，恢复完成病毒查杀确认安全后才解除隔离上线。

前提条件

无

注意事项

勒索应急恢复的快照数据与当前数据存在时间差，回滚快照会造成数据丢失。在正式业务场景下，请评估勒索影响决定是否回滚快照。

操作步骤

1. 在[云主机安全]列表中，勾选存在勒索病毒的云主机，点击<勒索应急恢复>。

2. 首先需对云主机进行紧急隔离操作，以防止勒索行为进一步横向扩散。点击<紧急隔离>按钮，完成隔离后，点击<下一步>。

3. 在进行勒索应急恢复前，点击<创建快照>按钮，为云主机打快照，恢复完成之后能够尝试通过此快照找回加密数据。

4. 快照创建完成后，点击<下一步>，对云主机进行恢复。这里会展示该云主机的全部快照，当平台检测到资产安全防护组件异常、疑似中勒索病毒时会自动触发快照，创建名为“疑似勒索快照XXX”的快照，点击<预览>按钮，平台将新建链接克隆云主机，克隆完成后，点击<控制台>按钮，进入云主机内部，可以查看该云主机是否被加密，若未被加密，则点击<开始恢复>，输入admin密码进行恢复。

5. 点击<确定>按钮后，平台会自动删除上一步预览时创建的所有链接克隆云主机后，恢复所选择的云主机快照。

6. 快照恢复后点击<下一步>，进入病毒扫描页面。这里建议对恢复后的云主机再次进行全盘扫描，若发现安全事件，可以立即处置。

7. 对于扫描出来的安全事件，可以点击上方<处置>/<信任>/<忽略>按钮，进行安全事件处置，建议安全事件处置完成后点击<重新扫描>按钮，再次进行病毒扫描，确认所有安全事件均已处置完毕后，点击<下一步>进入网络恢复。

8. 在恢复网络前，由于当前云主机数据已恢复，为避免二次感染，建议排查并确认相连的其他云主机安全状态无误后，再点击<恢复网络>按钮。网络恢复后，云主机将退出隔离模式。