Ransomware Datenrettung: VBK auf Tape und NAS Server

Jun 29, 2020

Die Situation

Das angegriffene Volume wurde ursprünglich auch für die regelmäßige Datensicherung auf LTO8-Bänder verwendet. Die meisten dieser Backup-Bänder befanden sich zum Zeitpunkt des Vorfalls ebenfalls in der Bandbibliothek und wurden von den Angreifern schnell formatiert. Der Kunde konnte jedoch ein originales, unformatiertes Band mit einem recht alten Sicherungsdatum retten, das dann komplett auf das nun leere Windows-Volume mit insgesamt 6 TB zurückgespielt wurde. Erst dann wurde Ontrack beauftragt, die Möglichkeiten der Datenwiederherstellung zu prüfen. Der HP-Server DL380 mit den 55 3-TB-Festplatten wurde zu Ontrack nach Böblingen transportiert.

Die Lösung

Bei der Diagnose wurde eine große Anzahl der gesuchten VEEAM VBK-Dateien auf dem Windows-Datenträger mit Ontrack Tools erfolgreich gefunden und 27 Datensätze wurden gemäß einer Prioritätenliste extrahiert. Bei der Wiederherstellung des LTO8-Bandes wurden teilweise einige Datensätze überschrieben und die Sicherungsdateien beschädigt. 

Ein großer Teil der Daten konnte noch in mehreren Schritten repariert und extrahiert werden.

Später konnten auch 19 deutlich ältere, schnell formatierte LTO 8-Bandsicherungen erfolgreich wiederhergestellt werden.Der Angriff betraf auch zahlreiche europäische Niederlassungen des Kunden. Hier waren überwiegend QNAP NAS-Systeme im Einsatz, die virtuelle VMs unter VMware gespeichert hatten, darunter auch Backup-VMs, die teilweise gelöscht oder intern mit einem anderen Dateisystem neu formatiert worden waren. Auch hier konnte Ontrack in 90% der sieben beauftragten Fälle die kompletten Backup-Daten erfolgreich wiederherstellen.