MS SQL database gered van versleutelde virtuele backup op QNAP

Uitdaging

Een toonaangevend high tech incubator bouwbedrijf werd getroffen door een ransomware cyberaanval. De aanval werd snel ontdekt en de klant sloot hun systemen onmiddellijk af, maar hun systemen en back-up waren al versleuteld. De kans op herstel werd zeer laag ingeschat.

De virtuele back-up was opgeslagen op een QNAP NAS met 4TB harde schijven. De meest kritieke gegevens om te herstellen waren hun Content Management Construction Database met een paar SQL databases die op een specifieke virtuele machine draaiden. Deze VM en de specifieke MDF- en LDF-bestanden zaten in het virtuele back-upbestand dat door de cybercriminelen was versleuteld.

Oplossing

De klant raadpleegde support om te controleren of de schade kon worden hersteld, maar het back-upbestand kon niet worden geëxtraheerd.

Ontrack Data Recovery ingenieurs bespraken de mogelijke volgende stappen tijdens een gratis consultatie. Na goedkeuring maakte Ontrack een image van de schijven en emuleerde de RAID. Ze scanden en analyseerden het volume en ontdekten dat het virtuele bestand gedeeltelijk was overschreven.

Met intern ontwikkelde tools konden de data recovery specialisten van Ontrack de virtuele bestandsstructuren scannen en opnieuw opbouwen en de gevraagde virtuele machine tonen.

Het bleek dat het overschrijven ook de inhoud in de VM zelf had beschadigd. Ontrack extraheerde gegevens uit de VM en analyseerde de kritieke database, waarna een databaseherstel werd uitgevoerd.