Wiederherstellen von Daten nach Ransomware-Angriff

Donnerstag, 12. November 2020 von Tilly Holland

DST-IMG_Ransomware-Case-Study_Feb-2021

Wenn Unternehmen von Ransomware betroffen sind und auf wichtige Daten nicht mehr zugegriffen werden kann, kann dies für alle Beteiligten eine extrem stressige Zeit sein. Es ist wichtig, so schnell wie möglich Zugriff auf die kritischen Daten zu erhalten, um sicherzustellen, dass die Ausfallzeit minimiert wird und Ihr Unternehmen wieder zur Normalität zurückkehren kann.  


In den letzten Jahren sind Ransomware-Angriffe immer häufiger geworden. Unser Team aus hochqualifizierten Technikern hat daher hart daran gearbeitet, sicherzustellen, dass wir über das Fachwissen verfügen, um Daten aus einer Reihe unterschiedlicher Malware wiederherzustellen.   


Auch wenn kein Ransomware-Fall dem anderen gleicht, gibt es drei Haupttypen: 


Scareware 

Eine einfache Form von Ransomware, die aus gefälschten Computerprogrammen besteht, die einen Benutzer dazu verleiten sollen, gefährliche Software zu kaufen oder herunterzuladen.  


Sperrbildschirm-Viren 

Ein Virus, der den Computer des Benutzers sperrt und ein Fenster in voller Größe mit einer Nachricht anzeigt, die besagt, dass der Benutzer ein Lösegeld zahlen muss, um den Computer zu entsperren. 


Verschlüsselungs-Ransomware               

Der Angreifer infiltriert die Daten- und Dateistruktur eines Computers und verschlüsselt alle Dateien und Ordner. 


Was ist zu tun, wenn Sie von Ransomware betroffen sind? 

  • Bleiben Sie ruhig. Jede übereilte Entscheidung könnte zu weiterem Datenverlust führen. 
  • Überprüfen Sie Ihre letzten Backups.
  • Zahlen Sie das Lösegeld nicht, da es keine Garantie dafür gibt, dass Sie Ihre Daten zurückbekommen. 
  • Wenden Sie sich an Ontrack, um sich beraten zu lassen und Optionen zur Datenwiederherstellung zu prüfen. 
  • Im Folgenden finden Sie einige Beispiele für erfolgreiche Ransomware-Datenrettungsfälle, die wir abgeschlossen haben. 

Fallbeispiel 1: Ransomware-Angriff auf Server - Backup-Bänder gelöscht

Bei einem Ransomware-Angriff auf einen Firmenserver wurden die Microsoft Dynamics 365-Daten verschlüsselt und eine Zahlung gefordert. Aktuelle Backups des Servers waren auf mehreren LTO-6-Backup-Bändern gespeichert, die von der Schadsoftware gelöscht worden waren. 

Nach der Beurteilung des Ausmaßes des Ransomware-Angriffs identifizierten Vertreter von Ontrack die Backup-Bänder des Unternehmens als beste Option für die Datenwiederherstellung - obwohl die Malware sie gelöscht hatte. 23 LTO-6-Backup-Bänder aus der Backup-Bibliothek wurden an Ontrack geschickt. Die Ingenieure arbeiteten zusammen mit der Forschungs- und Entwicklungsabteilung an der Entwicklung einer maßgeschneiderten Lösung zur Wiederherstellung der Daten von den gelöschten Sicherungsbändern.


Ontrack war in der Lage, 46 TB Daten von 18 der LTO-6-Bänder wiederherzustellen. Aufgrund der Art des Angriffs auf die Bänder musste Ontrack den logischen Schaden reparieren und die Daten und Bänder getrennt an den Kunden zurückschicken.

Ontrack wird von der NetApp Technologie bei der Lösung einer Ransomware-Infektion unterstützt.


Fallbeispiel 2: Der Laptop eines einzelnen Benutzers bei einem großen Pharmaunternehmen wurde mit der Ransomware CryptoLocker infiziert.

Diese Art von Malware verschlüsselt die Dateien des Benutzers und hält den Verschlüsselungsschlüssel zurück, bis der Lösegeldbetrag gezahlt wird. Der Laptop war mit dem Firmennetzwerk verbunden, wodurch die Malware ein CIFS-Volume infizieren konnte, das als Dateifreigabe auf einer NetApp FAS eingerichtet war. Die Malware war in der Lage, die Dateifreigabe zu infiltrieren und die meisten der Dateien zu verschlüsseln. Das IT-Team wurde erst nach Ablauf der Backup-Aufbewahrungsfrist über die Infektion informiert, was bedeutet, dass das Backup nur verschlüsselte Daten enthielt. Die Gesamtauswirkung resultierte in unzugänglichen Daten auf: 

■ 46 Festplatten

■  Ein Aggregat

■ Ein infiziertes Volume eines RAID-DP

Um die Wiederherstellung durchzuführen, musste das Aggregat offline genommen werden, was insgesamt 17 Volumes betraf. Der Kunde brachte seine 46 Laufwerke zur Evaluierung in unser Labor, und die Ingenieure von Ontrack machten sich an die Arbeit, eine Lösung zu finden.

Das Ingenieurteam von Ontrack unternahm folgende Schritte zur Wiederherstellung der Daten:

■ Virtuelles Rebuild der RAID-Gruppen, die über zehn verschiedene Shelves verstreut waren.


■ Virtuelles Rebuild des Aggregats.


■ Virtuelles Rebuild des kritischen Volumes.


Eine zusätzliche Herausforderung bei dieser Wiederherstellung bestand darin, dass das Aggregat nach dem Vorfall zwei Wochen lang in Betrieb war, was dazu führte, dass einige Daten überschrieben wurden.

Ontrack war in der Lage, das Volume, das die CIFS-Freigabe und die verschlüsselten Daten enthielt, virtuell wiederherzustellen.

Durch den Einsatz von NetApps proprietärem Betriebssystem (OnTap) und Dateisystem (WAFL) nutzten die Ontrack Techniker mehrere Konsistenzpunkte, um in der Zeit zurückzugehen" und unverschlüsselte Kopien der kritischen Daten zu finden und zusammenzuführen, um sie dem Kunden zurückzugeben. Diese Art der Wiederherstellung ist aufgrund der Art und Weise, wie die Daten auf dem Volume gespeichert sind, nur auf Storage wie dem FAS von NetApp möglich.

Mehr darüber, wie wir unseren Kunden bei der Wiederherstellung von Daten nach einem Ransomware-Angriff geholfen haben, lesen Sie hier