勒索軟件 VBK 復原於磁帶 - 伺服器和 NAS 系統

Challenge

遭受攻擊的空間, 原本也用來定期將資料備份到 LTO8 磁帶。在事件發生時，大部分的備份磁帶也在磁帶庫中，並且很快就被攻擊者格式化了。不過，客戶搶救了一個原始的未格式化磁帶，備份日期相當舊，然後將它完全復原到現在已經是空的 Windows 空間中，總容量為 6 TB。此時，Ontrack 接受委託評估數據復原的方案。包含 55 個 3TB 硬碟的 HP 伺服器 DL380 被運送到位於德國 Böblingen 的 Ontrack。

Solution

在診斷過程中，使用 Ontrack 工具在 Windows 空間中, 成功地找到了多數搜尋的 VEEAM vbk 檔，並根據優先順序清單擷取了 27 條記錄。復原 LTO8 磁帶的動作覆寫了部分的數據集並損壞了備份檔案。

Result

大部分的數據仍然可以透過幾個步驟, 加以修復和擷取。

稍後，19 個更舊的 LTO8 快速格式化, 磁帶備份也被成功復原。這項攻擊也使得該客戶的許多歐洲分辦公室受到影響。在這裡主要使用 QNAP NAS 系統，這些系統在 VMware 下儲存虛擬 VM，包括被部分刪除、或是在內部以其他檔案系統重新格式化的備份 VM。在接受委託的七個案例中，Ontrack 也順利還原了完整的備份數據，成功率達 90%。