テープでのランサムウェアVBKの復旧:サーバーとNASシステム
6 29, 2020
状況
攻撃されたボリュームは、当初、定期的にデータをLTO8テープにバックアップするためにも使用されました。 これらのバックアップテープのほとんどは、インシデント時にはテープライブラリにもあり、攻撃者によってすぐにフォーマットされました。 ところが、お客様はかなり古いバックアップ日付のフォーマットされていない元のテープを保存することができました。それは、その後合計6 TBの空のWindowsボリュームに完全に復旧されました。 そのときになって初めて、オントラックはデータ復旧のオプションの調査を委託されました。 55台の3 TBハードディスクを搭載したHPサーバーDL380がドイツのベーブリンゲンのオントラックに輸送されました。
解決策
診断中に、検索された多数のVEEAM vbkファイルが、オントラックのツールを使用してWindowsボリュームで正常に見つかり、優先リストに従って27のレコードが抽出されました。 LTO8テープの復旧により、一部のデータセットが部分的に上書きされ、バックアップファイルが破損しました。 データの大部分は、依然として複数の手順で修復および抽出できました。
結果
その後、19のかなり古いLTO8クイックフォーマットされたテープのバックアップも正常に復旧されました。この攻撃は、顧客の欧州の多くの支所にも影響を及ぼしました。 ここでは、部分的に削除されたり、別のファイルシステムで内部的に再フォーマットされたバックアップVMを含む、VMware下に仮想VMを保存していたQNAP NASシステムが主に使用されていました。 オントラックは、依頼された7つのケースの90%で完全なバックアップデータを正常に復旧することもできました。