Ransomware herstel - Virtuele Agent voor Windows
De klant
Bedrijf uit de gezondheidszorg
Uitdaging
De gegevens van de klant werden getroffen door een ransomware-aanval die niet alleen gericht was op hun servergegevens, maar ook op "Virtuele Agent for Windows" back-ups op een externe HDD. Hun IT/managed services provider overeenkomst bevatte geen regelmatige off-site back-ups, dus dit was de enige kopie van de gegevens die bestond.
Oplossing
De klant stuurde de aangetaste HDD naar Ontrack, waar een image van de schijf werd gemaakt om de oorspronkelijke staat van de media van de klant te bewaren.
De technici van Ontrack beoordeelden de schade aan de getroffen virtuele-back-upbestanden en stelden vast dat gedeeltelijk herstel mogelijk was, aangezien de bestanden niet volledig waren versleuteld. Er werd echter vastgesteld dat de gebruikte versie van de virtuele back-upbestanden nieuwer was dan wat Ontrack met de huidige tools kon ondersteunen en er dus hulp van het ontwikkelingsteam nodig was.
Met een wereldwijde aanwezigheid van ingenieurs en interne ontwikkelingsteams die onze eigen tools onderhouden en verbeteren, was Ontrack in staat om snel ondersteuning voor de nieuwe versie te onderzoeken, te ontwikkelen en te implementeren. In feite was veel van het vereiste tijdrovende onderzoek al voltooid voor soortgelijke opdrachten in onze Europese kantoren. Hierdoor konden de Ontrack ontwikkelaars snel en efficiënt de tools aanpassen tot het niveau dat nodig was om dit restauratiescenario te kunnen ondersteunen. In plaats van een volwaardige tool uit te bouwen, konden de Ontrack engineers de verbeterde versie van hun tools gebruiken om zoekopdrachten naar vereiste structuren uit te voeren, waardoor ze handmatig interne componenten konden herbouwen die cruciaal waren voor het herstel van gegevens uit het bestand.
Resultaat
Nadat de reparaties aan de bestanden waren voltooid, konden de technici hun overgebleven toolset gebruiken om een extractie van gegevens uit de gerepareerde bestanden te voltooien. De te herstellen gegevens bestonden uit veel platte bestandstypen die voor de klant tijdens de ransomware-aanval volledig verloren waren gegaan.