– Khảo sát & Đánh giá hiện trạng:

• Kiểm tra tổng thể cấu hình hệ thống mạng, server và SAN.
• Phân tích các log hệ thống để xác định loại virus và điểm xâm nhập.
• Kết luận: Virus mã hóa dữ liệu xuất phát từ máy người dùng truy cập vào mạng nội bộ.

– Ngăn chặn & cô lập sự cố:

• • Tắt và tách toàn bộ máy người dùng (User) ra khỏi hệ thống mạng.
  • Ngăn virus tiếp tục phát tán vào server và hệ thống lưu trữ.

– Khôi phục và tái cấu trúc hệ thống:

• • Xác định các VM bị nhiễm nặng, tiến hành tách khỏi hệ thống.
  • Dựng các VM mới:
    • Mapping lại các LUN từ SAN.
    • Kiểm tra và loại bỏ toàn bộ file bị mã hóa.
  • Khôi phục dữ liệu từ các dịch vụ quan trọng:
    • DC, Mail, DNS, AD, SQL, FileShare (FTP).
    • Một số hệ điều hành không thể khôi phục, chỉ giữ được dữ liệu FileShare từ SAN.

– Xây dựng lại môi trường dịch vụ:

• • Dựng lại các máy chủ dịch vụ với OS mới và cấu hình lại:
    • Domain Controller, Mail, DNS, AD.
    • Khôi phục lại cấu trúc phân quyền, người dùng và các rule mạng.
  • Cài đặt lại vCenter, cấu hình HA (High Availability) và DRS để tối ưu độ ổn định.

– Kiểm tra và nghiệm thu:

• • Testing toàn bộ dịch vụ: đăng nhập domain, gửi/nhận mail, phân giải DNS, truy cập FileShare.
  • Đảm bảo hệ thống hoạt động ổn định, không còn dấu hiệu nhiễm virus.