勒索軟件 VBK 復原於磁帶 - 伺服器和 NAS 系統

情況

遭受攻擊的空間, 原本也用來定期將資料備份到 LTO8 磁帶。在事件發生時,大部分的備份磁帶也在磁帶庫中,並且很快就被攻擊者格式化了。不過,客戶搶救了一個原始的未格式化磁帶,備份日期相當舊,然後將它完全復原到現在已經是空的 Windows 空間中,總容量為 6 TB。此時,Ontrack 接受委託評估數據復原的方案。包含 55 個 3TB 硬碟的 HP 伺服器 DL380 被運送到位於德國 Böblingen 的 Ontrack。

方案

在診斷過程中,使用 Ontrack 工具在 Windows 空間中, 成功地找到了多數搜尋的 VEEAM vbk 檔,並根據優先順序清單擷取了 27 條記錄。復原 LTO8 磁帶的動作覆寫了部分的數據集並損壞了備份檔案。

解決方案

大部分的數據仍然可以透過幾個步驟, 加以修復和擷取。

稍後,19 個更舊的 LTO8 快速格式化, 磁帶備份也被成功復原。這項攻擊也使得該客戶的許多歐洲分辦公室受到影響。在這裡主要使用 QNAP NAS 系統,這些系統在 VMware 下儲存虛擬 VM,包括被部分刪除、或是在內部以其他檔案系統重新格式化的備份 VM。在接受委託的七個案例中,Ontrack 也順利還原了完整的備份數據,成功率達 90%。