Ransomware Recovery – Veeam Agent for Windows

Montag, 12. Juli 2021 von The Ontrack Team

DST_image_970x300_hero-Encryption

Ein Kunde aus dem Gesundheitswesen war von einem Ransomware-Angriff betroffen. Dieser zielte nicht nur auf seine Serverdaten ab, sondern auch auf die Backups des "Veeam Agent for Windows", welche sich auf einer externen Festplatte befanden. Da der Vertrag mit dem IT-/Managed-Services-Provider aber keine regelmäßigen Offsite-Backups beinhaltete, war dies die einzig existierende Kopie der Daten.

Der Kunde sendete die betroffene Festplatte an Ontrack. Dort wurde sofort ein Image - eine originalgetreue 1:1 Kopie - des Laufwerks erstellt, um den ursprünglichen Zustand der Medien keinesfalls zu verändern.


Die Techniker von Ontrack analysierten den Schaden an den betroffenen Veeam-Backup-Dateien und stellten fest, dass eine teilweise Wiederherstellung möglich wäre, da die Dateien nicht vollständig verschlüsselt wurden. Es bestand also die Chance, einige Daten aus den Dateien wiederzustellen. Die vom Kunden verwendete Veeam-Version war jedoch brandneu, so dass für diese Software noch keine aktuellen Datenrettungs-Tools vorhanden waren. Das machte die Unterstützung der Ontrack Entwicklungsabteilung erforderlich.

Durch die Arbeit an mehreren der weltweiten Standorte, konnten die Ingenieure von Ontrack die neue Software so analysieren und die Tools so programmieren, dass eine Wiederherstellung der Kundendateien möglich wurde. Durch zum großen Teil manuelle Reparaturen an den Datenstrukturen konnten die Daten bereits nach wenigen Tagen in einer von Veeam erkennbaren Struktur bereitgestellt werden.

Nachdem schließlich die Reparaturen an den Dateien abgeschlossen waren, konnten die Techniker ihr bestehendes Veeam-Toolset verwenden, um eine Extraktion der Daten aus den reparierten Dateien durchzuführen. Die wiederherstellbaren Daten bestanden aus vielen Dateitypen, die dem Kunden durch die Ransomware-Attacke vollständig verloren gegangen waren. 

Load more comments


Neuer Code