Wenn Unternehmen von Ransomware heimgesucht werden und auf wichtige Daten nicht mehr zugreifen können, kann dies für alle Beteiligten eine äußerst stressige Zeit sein. Es ist von entscheidender Bedeutung, so schnell wie möglich Zugang zu diesen kritischen Daten zu erhalten, um sicherzustellen, dass die Ausfallzeit so gering wie möglich gehalten wird und Ihr Unternehmen wieder zur Normalität zurückkehren kann.
In den letzten Jahren sind Ransomware-Angriffe immer häufiger geworden. Unser Team aus hochqualifizierten Technikern hat daher hart daran gearbeitet, um sicherzustellen, dass wir über das Fachwissen verfügen, um Daten aus einer Reihe unterschiedlicher Malware wiederherzustellen.
Auch wenn kein Ransomware-Fall dem anderen gleicht, gibt es drei Haupttypen:
Scareware
Eine einfache Form von Ransomware, die aus gefälschten Computerprogrammen besteht, die den Benutzer dazu verleiten sollen, gefährliche Software zu kaufen oder herunterzuladen.
Bildschirmsperrviren
Ein Virus, der den Computer des Benutzers sperrt und ein Fenster in voller Größe mit einer Nachricht anzeigt, die besagt, dass der Benutzer ein Lösegeld zahlen muss, um den Computer zu entsperren.
Verschlüsselungs-Ransomware
Der Angreifer dringt in die Daten- und Dateistruktur eines Computers ein und verschlüsselt alle Dateien und Ordner.
Was ist zu tun, wenn Sie von Ransomware betroffen sind?
-
Bleiben Sie ruhig. Jede übereilte Entscheidung könnte zu weiterem Datenverlust führen.
-
Überprüfen Sie Ihre letzten Backups.
-
Zahlen Sie das Lösegeld nicht, da es keine Garantie dafür gibt, dass Sie Ihre Daten zurückbekommen.
-
Wenden Sie sich an Ontrack, um sich beraten zu lassen und Optionen zur Datenwiederherstellung zu prüfen.
-
Im Folgenden finden Sie einige Beispiele für erfolgreiche Ransomware-Datenrettungsfälle, die wir abgeschlossen haben.
Nachfolgend finden Sie einige Beispiele für erfolgreiche Ransomware-Datenrettungen, die wir durchgeführt haben.
Fallbeispiel 1: Ransomware-Angriff auf Server - Backup-Bänder gelöscht
Ein Ransomware-Angriff auf einen Unternehmensserver verschlüsselte die Daten von Microsoft Dynamics 365 und forderte eine Zahlung. Die letzten Backups des Servers waren auf mehreren LTO-6-Bändern gespeichert, die von der Malware gelöscht wurden.
Nach der Bewertung des Ausmaßes des Ransomware-Angriffs stellten Vertreter von Ontrack fest, dass die Sicherungsbänder des Unternehmens die beste Option für die Datenwiederherstellung darstellten - auch wenn die Malware sie gelöscht hatte. 23 LTO-6-Sicherungsbänder aus der Backup-Bibliothek wurden an das Büro von Ontrack geschickt. Die Ingenieure arbeiteten mit der Forschungs- und Entwicklungsabteilung zusammen, um eine maßgeschneiderte Lösung zur Wiederherstellung der Daten von den gelöschten Sicherungsbändern zu entwickeln.
Ontrack war in der Lage, 46 TB an Daten von 18 der LTO-6-Bänder wiederherzustellen. Aufgrund der Art des Angriffs auf die Bänder musste Ontrack den logischen Schaden reparieren und die Daten und Bänder getrennt an den Kunden zurückschicken.
Ontrack wird von NetApp Technologie bei der Lösung einer Ransomware-Infektion unterstützt.
Fallbeispiel 2: Der Laptop eines einzelnen Benutzers bei einem großen Pharmaunternehmen wurde mit der Ransomware CryptoLocker infiziert.
Diese Art von Malware verschlüsselt die Dateien des Benutzers und hält den Verschlüsselungsschlüssel zurück, bis das Lösegeld gezahlt wird. Der Laptop war mit dem Unternehmensnetzwerk verbunden, wodurch die Malware ein CIFS-Volume infizieren konnte, das als Dateifreigabe auf einer NetApp FAS eingerichtet war. Die Malware konnte in die Dateifreigabe eindringen und einen Großteil der Dateien verschlüsseln. Das IT-Team wurde erst nach Ablauf der Backup-Aufbewahrungsfrist über die Infektion informiert, so dass das Backup nur verschlüsselte Daten enthielt. Die Gesamtauswirkungen führten zu unzugänglichen Daten auf:
■ 46 Laufwerken
■ Einem Aggregat
■ Einem Volume, das auf einem RAID-DP infiziert war
Um die Wiederherstellung durchzuführen, musste das Aggregat offline genommen werden, was insgesamt 17 Volumes betraf.
Der Kunde brachte die 46 Laufwerke zur Bewertung in unser Labor, und die Ingenieure von Ontrack machten sich an die Arbeit, um eine Lösung zu finden.
Das Ingenieurteam von Ontrack:
■ Virtuelles Rebuild der RAID-Gruppen, die über zehn verschiedene Regale verteilt waren.
■ Virtuelles Wiederherstellen des Aggregats.
■ Virtuelles Wiederherstellen des kritischen Volumes.
Eine zusätzliche Herausforderung bei dieser Wiederherstellung bestand darin, dass das Aggregat nach dem Vorfall zwei Wochen lang in Gebrauch war, was dazu führte, dass einige Daten überschrieben wurden.
Ontrack konnte das Volume, das die CIFS-Freigabe und die verschlüsselten Daten enthielt, virtuell wiederherstellen.
Unter Verwendung des NetApp eigenen Betriebssystems (OnTap) und Dateisystems (WAFL) nutzten die Ontrack Techniker mehrere Konsistenzpunkte, um in der Zeit zurückzugehen und unverschlüsselte Kopien der kritischen Daten zu finden und zusammenzuführen, um sie dem Kunden zurückzugeben. Diese Art der Wiederherstellung ist aufgrund der Art und Weise, wie die Daten auf dem Volume gespeichert werden, nur auf einem Storage wie dem FAS von NetApp möglich.
Weitere Informationen zum Thema finden Sie unter:
Datenwiederherstellung nach einem Ransomware-Angriff
Datenrettung Tapes bei Ransomware
Lesen Sie unseren Ransomware-Leitfaden
Kontakt Ontrack Schweiz