Récupérations ransomware : VBK sur bande et serveur NAS

Situation

Lors d’un week-end d’avril 2020, une société pharmaceutique internationale a subi une attaque de hacker au moyen d’un cheval de Troie Prolock Ransomware. L’attaque a reformaté le volume staging d’un VEEAM de 90 To avec plus de 160 machines virtuelles à l’aide d’un système de fichiers Windows.

Le volume attaqué était à l’origine également utilisé pour sauvegarder les données vers des bandes LTO8 à intervalles réguliers. La plupart de ces bandes de sauvegarde se trouvaient également dans la bibliothèque de bandes au moment de l’incident et ont été rapidement formatées par les malfaiteurs. Toutefois, le client a pu sauver une bande originale non formatée avec une date de sauvegarde assez ancienne, qui a ensuite été entièrement restaurée vers le volume Windows à présent vide avec un total de 6 To. C’est alors seulement qu’Ontrack a été chargé d’examiner les options de récupération des données. Le serveur HP DL380 avec les 55 disques durs de 3 To furent transportés à Böblingen en Allemagne, dans les bureaux d’Ontrack.

Solution

Au cours du diagnostic, un grand nombre des fichiers vbk VEEAM ont été retrouvés sur le volume Windows avec les outils Ontrack, et 27 registres ont été extraits selon une liste de priorité. La restauration de la bande LTO8 a écrasé une partie des ensembles de données et endommagé les fichiers de sauvegarde.