Veeam VBK Ransomware Datenrettung: Von Tape und NAS

Written By: Ontrack

Date Published: Dezember 10, 2024

Veeam VBK Ransomware Datenrettung: Von Tape und NAS

Der Kunde

Ein Pharmaunternehmen war mit einem Ransomware Angriff konfrontiert. Dabei wurde ein 90 TB großes Backup VEEAM-Volume formatiert mit ursprünglich mehr als 160 virtuellen Maschinen. Betroffen war nicht nur die europäischen Zentrale, sondern auch viele seiner Niederlassungen welche keinen Zugriff mehr auf die Veeam Backups auf mehreren Servern, NAS Systemen wie die zentrale Sicherung auf Tapes mehr hatten.

Die Situation

Das wichtigste Volume für die Backups wurde ursprünglich auch für die regelmäßige Datensicherung auf LTO8-Bänder verwendet. Die meisten dieser Backup-Tapes befanden sich zum Zeitpunkt des Vorfalls ebenfalls in der Bandbibliothek und wurden von den Angreifern schnell formatiert. Der Kunde konnte jedoch ein originales, unformatiertes Band mit einem recht alten Sicherungsdatum retten, das dann komplett auf das nun leere Windows-Volume mit insgesamt 6 TB zurückgespielt wurde. Erst dann wurde Ontrack beauftragt, die Möglichkeiten der Datenwiederherstellung zu prüfen. Der HP-Server DL380 mit den 55 3-TB-Festplatten wurde zu Ontrack nach Böblingen transportiert wie auch eine hohe Anzahl von LTO8 Bänder. Weitere Qnap NAS Systeme wurden in der Schweizer Ontrack Niederlassung in Wallisellen bei Zürich bearbeitet um zügig und schnell verwertbare Diagnose Ergebnisse für den Kunden und weitere Entscheidungen zu erhalten.

Die Lösung

Bei der Diagnose wurde eine große Anzahl der gesuchten Veeam VBK-Dateien auf dem Windows-Datenträger mit Ontrack Tools erfolgreich gefunden und die aktuellsten Backup Sicherungen mit 27 virtuellen Maschinen  gemäß einer Prioritätenliste als komplette und funktionsfähige Vmware VMDK Dateien extrahiert. Diese Extrahierung war notwendig, da durch die vom Kunden durchgeführte Rücksicherung des LTO8-Bandes teilweise einige Datensätze partiell überschrieben und die VBK Sicherungsdateien beschädigt wurden. 

Das Ergebnis

Ein großer Teil der Daten konnte noch in mehreren Schritten repariert und extrahiert werden.

Später konnten auch 19 deutlich ältere, schnell formatierte LTO 8-Bandsicherungen erfolgreich wiederhergestellt werden.Der Angriff betraf auch zahlreiche europäische Niederlassungen des Kunden. Hier waren überwiegend QNAP NAS-Systeme im Einsatz, die virtuelle VMs unter VMware gespeichert hatten, darunter auch Backup-VMs, die teilweise gelöscht oder intern mit einem anderen Dateisystem neu formatiert worden waren. Auch hier konnte Ontrack in 90% der sieben beauftragten Fälle die kompletten Backup-Daten erfolgreich wiederherstellen.

Wenden Sie sich daher an Ihr Ontrack-Datenrettungsteam in der Schweiz, um zu erfahren, wie wir Sie bei der Wiederherstellung von Daten nach dem Ausfall Ihres Enterprise NAS oder SAN Storage aber insbesondere nach einem Ransomware Incident unterstützen können.

Weitere Informationen zum Thema finden Sie unter:

Datenwiederherstellung nach einem Ransomware-Angriff

Datenrettung Tapes bei Ransomware

Lesen Sie unseren Ransomware-Leitfaden

Kontakt Ontrack Schweiz

Abonnieren

KLDiscovery Ontrack (Switzerland) GmbH, Hertistrasse 25, 8304 Wallisellen, Schweiz (Alle standorte anzeigen)