Odzyskiwanie ransomware - Veeam Agent dla systemu Windows

The Situation

Klient służby zdrowia został dotknięty atakiem ransomware, który został skierowany nie tylko w dane serwera, ale także w kopie zapasowe „Veeam Agent dla systemu Windows” znajdujące się na zewnętrznym dysku twardym. Ich umowa IT/dostawcy usług zarządzanych nie obejmowała regularnych kopii zapasowych poza siedzibą firmy, więc była to jedyna kopia istniejących danych.

The Solution

Klient był w stanie wysłać uszkodzony dysk twardy do Ontrack, gdzie wykonano obraz dysku w celu zachowania oryginalnego stanu nośników klienta.

Inżynierowie Ontrack ocenili uszkodzenia uszkodzonych plików kopii zapasowych Veeam i stwierdzili, że częściowe odzyskanie jest możliwe, ponieważ pliki nie zostały w pełni zaszyfrowane, co oznacza, że istniało prawdopodobieństwo odzyskania niektórych danych z plików. Stwierdzono jednak, że używana wersja rozwiązania Veeam była nowsza, niż mógł obsługiwać Ontrack za pomocą obecnych narzędzi i wymagał pomocy programistycznej.

Dzięki obecności inżynierów na całym świecie, a także wewnętrznym zespołom programistycznym, które utrzymują i ulepszają nasze zastrzeżone narzędzia, Ontrack był w stanie szybko zbadać, opracować i wdrożyć wsparcie dla nowej wersji. W rzeczywistości, wiele z wymaganych czasochłonnych badań zostało już zakończonych w przypadku podobnych stanowisk pracy w naszych europejskich biurach. Umożliwiło to programistom Ontrack szybkie i efektywne modyfikowanie narzędzi do poziomu wymaganego do obsługi tego scenariusza przywracania. Zamiast tworzyć pełnoprawne narzędzie, inżynierowie Ontrack mogli wykorzystać ulepszoną wersję narzędzi do ukończenia wyszukiwania wymaganych struktur, aby umożliwić im ręczną przebudowę wewnętrznych komponentów krytycznych dla odzyskiwania danych z pliku.

The Resolution

Po zakończeniu naprawy plików inżynierowie mogli wykorzystać pozostały zestaw narzędzi Veeam do wyodrębnienia danych z naprawionych plików. Odzyskiwalne dane składały się z wielu płaskich typów danych, które zostały całkowicie utracone przez klienta podczas ataku ransomware.