Ransomware Herstel op Tape - Server en NAS Systemen

Uitdaging

Deze klant had te maken met een cyberaanval waarbij het aangevallen volume oorspronkelijk werd gebruikt om met regelmatige tussenpozen een back-up te maken van gegevens op LTO8-tapes. De meeste van deze back-uptapes bevonden zich ten tijde van het incident in de tapebibliotheek en werden snel geformatteerd door de aanvallers. De klant had echter nog een tape met een relatief oude back-updatum, die vervolgens volledig werd teruggezet op het nu lege Windows-volume met een totaal van 6 TB. Pas daarna gaf de klant Ontrack opdracht om de opties voor gegevensherstel te onderzoeken.

Bovendien trof de aanval talrijke Europese vestigingen van de klant waar voornamelijk QNAP NAS systemen in gebruik waren.

Oplossing

De HP server DL380 met de 55 3TB harde schijven en LTO8 tapes werden vervoerd naar Ontrack in Böblingen, Duitsland. Tijdens de diagnose werd een groot aantal van de gezochte bestanden succesvol gevonden op het Windows volume met behulp van Ontrack ‘s eigen tools en 27 records werden geëxtraheerd volgens een prioriteitenlijst.

Het herstel van de LTO8-tape overschreef gedeeltelijk een aantal gegevenssets en beschadigde de back-upbestanden. Een groot deel van de gegevens kon echter nog worden hersteld en in verschillende stappen worden geëxtraheerd. Op een later tijdstip werden 19 aanzienlijk oudere snel geformatteerde LTO8 tape back-ups ook succesvol hersteld van de ransomware aanval.

De QNAP NAS systemen hadden virtuele VM's opgeslagen onder VMware, inclusief back-up VM's die gedeeltelijk waren verwijderd of intern opnieuw geformatteerd met een ander bestandssysteem.