Recupero dati ransomware da tape VBK - Server e sistemi NAS
Lo scenario
Il volume attaccato era originariamente utilizzato a intervalli regolari anche per il backup dei dati su nastri. La maggior parte di questi nastri di backup erano anche presenti nella tape library al momento dell'incidente e sono stati rapidamente formattati dagli hacker. Tuttavia, il cliente è stato in grado di salvare un tape originale non formattato con una data di backup piuttosto vecchia, che è stato quindi completamente ripristinato nel volume di Windows rimasto vuoto per un totale di 6 TB di dati. Solo allora Ontrack è stata incaricata di esaminare la situazione e valutare la fattibilità di un possibile intervento di recupero dei dati. Il server HP DL380 con 55 dischi rigidi da 3 TB è stato inviato presso la sede tedesca di Ontrack a Böblingen.
La soluzione
Durante la fase di prognosi, grazie agli strumenti di Ontrack sono stati trovati un gran numero di file vbk VEEAM sul volume di Windows e gli ingegneri sono stati in grado di estrarre 27 record, in base a un elenco di priorità. Il ripristino del tape LTO8 ha parzialmente sovrascritto alcuni set di dati e danneggiato i file di backup.
Il risultato
Gran parte dei dati poteva essere riparata ed estratta in più passaggi. Sono stati quindi recuperati con successo 19 backup su nastro LTO8 a formattazione rapida significativamente più vecchi, che hanno colpito anche numerosi uffici secondari europei del cliente. Qui c'erano principalmente sistemi NAS QNAP in uso che avevano archiviato i dati su macchine virtuali VMware, incluse le virtual machine di backup che erano state parzialmente eliminate o riformattate internamente con un altro file system. Ontrack è stato anche in grado di ripristinare con successo i dati di backup completi nel 90% dei casi gestiti.