Recuperación de ransomware - Veeam Agent para Windows
Challenge
Un cliente del sector de la salud se vio afectado por un ataque de ransomware que no solo se dirigía a los datos de su servidor, sino también a las copias de seguridad de "Veeam Agent para Windows" ubicadas en un disco duro externo.
El acuerdo con el proveedor de servicios gestionados/de TI no incluía la realización de copias de seguridad periódicas fuera de las instalaciones, por lo que ésta era la única copia de datos que existía.
Solution
El cliente pudo enviar el disco duro afectado a Ontrack, donde se tomó una imagen de la unidad para conservar el estado original del soporte del cliente.
Los ingenieros de Ontrack evaluaron los daños en los archivos de copia de seguridad de Veeam afectados e identificaron que sería posible una recuperación parcial, ya que los archivos no habían sido totalmente encriptados, lo que significaba que existía la posibilidad de recuperar algunos datos de los archivos.
Sin embargo, se determinó que la versión de Veeam utilizada era más actualizada de lo que Ontrack podía soportar con las herramientas actuales y requería asistencia de desarrollo. Al contar con un equipo de ingenieros a nivel mundial, así como equipos de desarrollo internos que mantienen y mejoran las herramientas patentadas de Ontrack, pudimos investigar, desarrollar e implementar rápidamente el soporte para la nueva versión. De hecho, gran parte de la investigación exhaustiva necesaria ya se había realizado para trabajos similares realizados en nuestras oficinas europeas.
Esto permitió a los desarrolladores de Ontrack modificar rápida y eficazmente las herramientas hasta alcanzar el nivel necesario para poder dar soporte a este caso de restauración. En lugar de crear una herramienta completa, los ingenieros de Ontrack pudieron utilizar la versión mejorada de las herramientas para completar las búsquedas de las estructuras necesarias que les permitieran reconstruir manualmente los componentes internos críticos para la recuperación de los datos del archivo.
Result
Una vez que se completaron las reparaciones de los archivos, los ingenieros pudieron utilizar el conjunto de herramientas de Veeam que les quedaba para realizar una extracción de datos de los archivos reparados.
Los datos recuperables consistían en muchos tipos de datos de archivos planos que el cliente había perdido por completo durante el ataque del ransomware.