テープでのランサムウェアVBKの復旧：サーバーとNASシステム

The Situation

攻撃されたボリュームは、当初、定期的にデータをLTO8テープにバックアップするためにも使用されました。これらのバックアップテープのほとんどは、インシデント時にはテープライブラリにもあり、攻撃者によってすぐにフォーマットされました。ところが、お客様はかなり古いバックアップ日付のフォーマットされていない元のテープを保存することができました。それは、その後合計6 TBの空のWindowsボリュームに完全に復旧されました。そのときになって初めて、オントラックはデータ復旧のオプションの調査を委託されました。 55台の3 TBハードディスクを搭載したHPサーバーDL380がドイツのベーブリンゲンのオントラックに輸送されました。

The Solution

診断中に、検索された多数のVEEAM vbkファイルが、オントラックのツールを使用してWindowsボリュームで正常に見つかり、優先リストに従って27のレコードが抽出されました。 LTO8テープの復旧により、一部のデータセットが部分的に上書きされ、バックアップファイルが破損しました。データの大部分は、依然として複数の手順で修復および抽出できました。

The Resolution

その後、19のかなり古いLTO8クイックフォーマットされたテープのバックアップも正常に復旧されました。この攻撃は、顧客の欧州の多くの支所にも影響を及ぼしました。ここでは、部分的に削除されたり、別のファイルシステムで内部的に再フォーマットされたバックアップVMを含む、VMware下に仮想VMを保存していたQNAP NASシステムが主に使用されていました。オントラックは、依頼された7つのケースの90％で完全なバックアップデータを正常に復旧することもできました。

Share Print