Recupero Ransomware - Veeam Agent per Windows

Lo scenario

Un cliente del settore sanitario è stato colpito da un attacco ransomware che ha preso di mira non solo i dati del suo server, ma anche i backup di "Veeam Agent for Windows" memorizzati su un HDD esterno. L'accordo con il loro provider di servizi IT non prevedeva backup off-site regolari, quindi quella sul disco esterno era l'unica copia esistente dei dati.

La soluzione

Il cliente ha inviato l'HDD a Ontrack e gli ingegneri hanno subito creato un'immagine del disco per preservare lo stato originale del supporto del cliente.

I tecnici hanno valutato il danno ai file di backup Veeam interessati e hanno constatato che c’era margine per eseguire una operazione recupero. I file infatti non erano stati completamente criptati e quindi era possibile recuperare alcuni dati all'interno dei file. Tuttavia, la versione di Veeam utilizzata era più recente di quella che Ontrack poteva supportare con gli strumenti disponibili e richiedeva uno sviluppo ad hoc.

Grazie ad un team internazionale di ingegneri ed un team di sviluppo interno, Ontrack è stata in grado di ricercare, sviluppare e implementare un tool per la nuova versione di Veeam. Gran parte della fase di ricerca e sviluppo era già stata completata per dei casi simili presso i nostri uffici europei. Questo ha permesso agli sviluppatori di Ontrack di aggiornare velocemente ed efficacemente gli strumenti necessari al supporto di questo caso specifico. Invece di sviluppare un tool inedito, gli ingegneri di Ontrack sono stati in grado di migliorare gli strumenti già esistenti per completare le ricerche delle strutture logiche funzionali alla ricostruzione manuale dei componenti necessari al recupero dei dati.

Il risultato

Una volta completata la riparazione dei file, gli ingegneri sono stati in grado di utilizzare il set di strumenti Veeam disponibili per completare l'estrazione dei dati dai file riparati. I dati recuperabili consistevano in diverse tipologie di flat file che erano stati completamente persi dal cliente durante l'attacco ransomware.