Skip to main content
BlueXP ransomware protection
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

从勒索软件攻击中恢复(消除意外事件后)

贡献者

工作负载标记为"需要还原"后、BlueXP勒索软件保护会建议使用实际恢复点(Recovery Point、RPA)、并编排工作流以实现防崩溃恢复。

  • 如果应用程序或VM由SnapCenter管理、则BlueXP勒索软件保护会使用应用程序一致或VM一致的过程将应用程序或VM还原到其先前状态和最后一个事务。应用程序或VM一致的还原会将未将其添加到存储中的任何数据(例如、缓存或I/O操作中的数据)添加到卷中的数据。

  • 如果应用程序或VM由SnapCenter管理、并由BlueXP备份和恢复或BlueXP勒索软件保护进行管理、则BlueXP勒索软件保护将执行崩溃状态一致的还原、在此还原同一时间点卷中的所有数据、例如、 如果系统崩溃。

    您可以通过选择所有卷、特定卷或特定文件来还原工作负载。

提示 工作负载恢复可能会影响正在运行的工作负载。您应与相应的利益相关方协调恢复过程。

工作负载可以具有以下还原状态之一:

  • 需要还原:需要还原工作负载。

  • 进行中:还原操作当前正在进行中。

  • 已还原:工作负载已还原。

  • 失败:无法完成工作负载还原过程。

查看已准备好还原的工作负载

查看处于"需要还原"恢复状态的工作负载。

步骤
  1. 执行以下操作之一:

    • 在信息板中、查看警报窗格中的"需要还原"总计、然后选择*查看全部*。

    • 从菜单中,选择*RecRecovery *。

  2. 查看*Recy过程*页面中的工作负载信息。

    恢复页面

还原SnapCenter管理的工作负载

通过使用BlueXP勒索软件保护、存储管理员可以确定如何以最佳方式从建议的还原点或首选还原点还原工作负载。

如果还原需要、应用程序状态将发生更改。如果控制文件包含在备份中、则应用程序将从控制文件还原到其先前状态。还原完成后、应用程序将以读写模式打开。

步骤
  1. 从BlueXP勒索软件保护菜单中、选择*恢复*。

  2. 查看*Recy过程*页面中的工作负载信息。

  3. 选择处于"Restore Need"状态的工作负载。

  4. 要恢复,请选择*Restore*。

  5. 恢复范围:应用程序一致(或者对于SnapCenter for VM,恢复范围为"按VM")

  6. Source:选择Source旁边的向下箭头以查看详细信息。选择要用于还原数据的还原点。

    提示 BlueXP勒索软件保护会将最佳还原点标识为事件发生前的最新备份、并显示"建议"指示。
  7. 目的地:选择目的地旁边的向下箭头可查看详细信息。

    1. 选择原始位置或备用位置。

    2. 选择工作环境。

    3. 选择Storage VM。

  8. 如果原始目标没有足够的空间来还原工作负载、则会显示一个"临时存储"行。您可以选择临时存储来还原工作负载数据。还原的数据将从临时存储复制到原始位置。单击临时存储行中的*向下箭头*并设置目标集群、Storage VM和本地层。

  9. 隔离位置:(可选)在启动恢复过程之前、选择要存储可能受感染数据的位置、以便在恢复后进行进一步分析。

  10. 选择 * 保存 * 。

  11. 选择 * 下一步 * 。

  12. 查看您的选择。

  13. 选择 * 还原 * 。

  14. 从顶部菜单中选择*恢复*以查看恢复页面上的工作负载、其中操作状态将在各个状态之间移动。

还原不受SnapCenter管理的工作负载

通过使用BlueXP勒索软件保护、存储管理员可以确定如何以最佳方式从建议的还原点或首选还原点还原工作负载。

安全存储管理员可以在不同级别恢复数据:

  • 恢复所有卷

  • 在卷级别或文件和文件夹级别恢复应用程序。

  • 在卷级别、目录级别或文件/文件夹级别恢复文件共享。

  • 从虚拟机级别的数据存储库中恢复。

此过程会根据工作负载类型稍有不同。

步骤
  1. 从BlueXP勒索软件保护菜单中、选择*恢复*。

  2. 查看*Recy过程*页面中的工作负载信息。

  3. 选择处于"Restore Need"状态的工作负载。

  4. 要恢复,请选择*Restore*。

  5. 恢复范围:选择要完成的恢复类型:

    • 所有卷

    • 按卷

    • 按文件:您可以指定要还原的文件夹或单个文件。

      提示 您最多可以选择100个文件或一个文件夹。
  6. 根据您选择的是应用程序、卷还是文件、继续执行以下过程之一。

还原所有卷

  1. 从BlueXP勒索软件保护菜单中、选择*恢复*。

  2. 选择处于"Restore Need"状态的工作负载。

  3. 要恢复,请选择*Restore*。

  4. 在还原页面的还原范围中、选择*所有卷*。

    Restore by all volumes"页面

  5. Source:选择Source旁边的向下箭头以查看详细信息。

    1. 选择要用于还原数据的还原点。

      提示 BlueXP勒索软件保护会将最佳还原点标识为意外事件发生前的最新备份、并显示"对所有卷最安全"的指示。这意味着、所有卷都将还原到检测到的第一个卷受到首次攻击之前的副本。
  6. 目的地:选择目的地旁边的向下箭头可查看详细信息。

    1. 选择工作环境。

    2. 选择Storage VM。

    3. 选择聚合。

    4. 更改要在所有新卷之前添加的卷前缀。

      提示 新卷名称显示为前缀+原始卷名称+备份名称+备份日期。
  7. 隔离位置:(可选)在启动恢复过程之前、选择要存储可能受感染数据的位置、以便在恢复后进行进一步分析。

  8. 选择 * 保存 * 。

  9. 选择 * 下一步 * 。

  10. 查看您的选择。

  11. 选择 * 还原 * 。

  12. 从顶部菜单中选择*恢复*以查看恢复页面上的工作负载、其中操作状态将在各个状态之间移动。

在卷级别还原应用程序工作负载

  1. 从BlueXP勒索软件保护菜单中、选择*恢复*。

  2. 选择处于"需要还原"状态的应用程序工作负载。

  3. 要恢复,请选择*Restore*。

  4. 在"Restore"页面的"Restore scope (还原范围)"中、选择*by volume*。

    "按卷还原"页面

  5. 在卷列表中、选择要还原的卷。

  6. Source:选择Source旁边的向下箭头以查看详细信息。

    1. 选择要用于还原数据的还原点。

      提示 BlueXP勒索软件保护会将最佳还原点标识为事件发生前的最新备份、并显示"建议"指示。
  7. 目的地:选择目的地旁边的向下箭头可查看详细信息。

    1. 选择工作环境。

    2. 选择Storage VM。

    3. 选择聚合。

    4. 查看新卷名称。

      提示 新卷名称显示为原始卷名称+备份名称+备份日期。
  8. 隔离位置:(可选)在启动恢复过程之前、选择要存储可能受感染数据的位置、以便在恢复后进行进一步分析。

  9. 选择 * 保存 * 。

  10. 选择 * 下一步 * 。

  11. 查看您的选择。

  12. 选择 * 还原 * 。

  13. 从顶部菜单中选择*恢复*以查看恢复页面上的工作负载、其中操作状态将在各个状态之间移动。

在文件级别还原应用程序工作负载

在文件级别还原应用程序工作负载之前、您可以查看受影响文件的列表。您可以访问警报页面以下载受影响文件的列表。然后、使用"RecRecovery (恢复)"页面上传此列表并选择要还原的文件。

您可以将文件级的应用程序工作负载还原到相同或不同的工作环境。

获取受影响文件列表的步骤

使用警报页面检索受影响文件的列表。

提示 如果卷具有多个警报、则需要下载每个警报的受影响文件的CSV列表。
  1. 从BlueXP勒索软件保护菜单中、选择*警报*。

  2. 在警报页面上、按工作负载对结果进行排序、以显示要还原的应用程序工作负载的警报。

  3. 从该工作负载的警报列表中、选择一个警报。

  4. 对于该警报、请选择一个意外事件。

    特定警报的受影响文件列表

  5. 要查看完整的文件列表,请选择“受影响的文件”窗格顶部的*单击此处*。

  6. 对于此意外事件、请选择下载图标并以CSV格式下载受影响文件的列表。

还原这些文件的步骤
  1. 从BlueXP勒索软件保护菜单中、选择*恢复*。

  2. 选择处于"需要还原"状态的应用程序工作负载。

  3. 要恢复,请选择*Restore*。

  4. 在“还原”页面的“还原范围”中,选择*by file*。

  5. 在卷列表中、选择包含要还原的文件的卷。

  6. 还原点:选择*还原点*旁边的向下箭头查看详细信息。选择要用于还原数据的还原点。

    备注 "还原点"窗格中的原因列会将Snapshot或备份的原因显示为"已计划"或"对勒索软件事件的自动响应"。
  7. 文件

    • 自动选择文件:让BlueXP勒索软件保护功能选择要还原的文件。

    • 上传文件列表:上传CSV文件、其中包含您从警报页面获取或拥有的受影响文件列表。一次最多可以还原10、000个文件。

      上传CSV文件以列出警报的受影响文件

    • 手动选择文件:最多选择10,000个文件或单个文件夹进行恢复。

      手动选择要还原的文件

    备注 如果使用选定还原点无法还原任何文件,则会显示一条消息,指示无法还原的文件数量,并允许您通过选择*下载受影响文件列表*来下载这些文件的列表。
  8. 目的地:选择目的地旁边的向下箭头可查看详细信息。

    1. 选择将数据还原到何处:原始源位置或您可以指定的备用位置。

      提示 虽然原始文件或目录将被还原的数据覆盖、但原始文件和文件夹名称将保持不变、除非您指定新名称。
    2. 选择工作环境。

    3. 选择Storage VM。

    4. (可选)输入路径。

      提示 如果未指定还原路径、则这些文件将还原到顶级目录的新卷。
    5. 选择是希望恢复的文件或目录的名称与当前位置同名还是不同名称。

  9. 隔离位置:(可选)在启动恢复过程之前、选择要存储可能受感染数据的位置、以便在恢复后进行进一步分析。

  10. 选择 * 下一步 * 。

  11. 查看您的选择。

  12. 选择 * 还原 * 。

  13. 从顶部菜单中选择*恢复*以查看恢复页面上的工作负载、其中操作状态将在各个状态之间移动。

还原文件共享或数据存储库

  1. 选择要还原的文件共享或数据存储库后、在还原页面的还原范围中、选择*按卷*。

    显示文件共享恢复的恢复页面

  2. 在卷列表中、选择要还原的卷。

  3. Source:选择Source旁边的向下箭头以查看详细信息。

    1. 选择要用于还原数据的还原点。

      提示 BlueXP勒索软件保护会将最佳还原点标识为事件发生前的最新备份、并显示"建议"指示。
  4. 目的地:选择目的地旁边的向下箭头可查看详细信息。

    1. 选择将数据还原到何处:原始源位置或您可以指定的备用位置。

      提示 虽然原始文件或目录将被还原的数据覆盖、但原始文件和文件夹名称将保持不变、除非您指定新名称。
    2. 选择工作环境。

    3. 选择Storage VM。

    4. (可选)输入路径。

      提示 如果未指定还原路径、则这些文件将还原到顶级目录的新卷。
  5. 选择 * 保存 * 。

  6. 查看您的选择。

  7. 选择 * 还原 * 。

  8. 从菜单中选择*恢复*以查看恢复页面上的工作负载、其中操作状态将在各个状态之间移动。

在虚拟机级别还原虚拟机文件共享

在选择要还原的虚拟机后的"RecRecovery (恢复)"页面上、继续执行以下步骤。

  1. Source:选择Source旁边的向下箭头以查看详细信息。

    显示正在还原的虚拟机的恢复页面

  2. 选择要用于还原数据的还原点。

  3. 目的地:原始位置。

  4. 选择 * 下一步 * 。

  5. 查看您的选择。

  6. 选择 * 还原 * 。

  7. 从菜单中选择*恢复*以查看恢复页面上的工作负载、其中操作状态将在各个状态之间移动。