Der Kunde
Ein Pharmaunternehmen war mit einem Ransomware Angriff konfrontiert. Dabei wurde ein 90 TB großes Backup VEEAM-Volume formatiert mit ursprünglich mehr als 160 virtuellen Maschinen. Betroffen war nicht nur die europäischen Zentrale, sondern auch viele seiner Niederlassungen welche keinen Zugriff mehr auf die Veeam Backups auf mehreren Servern, NAS Systemen wie die zentrale Sicherung auf Tapes mehr hatten.
Die Situation
Das wichtigste Volume für die Backups wurde ursprünglich auch für die regelmäßige Datensicherung auf LTO8-Bänder verwendet. Die meisten dieser Backup-Tapes befanden sich zum Zeitpunkt des Vorfalls ebenfalls in der Bandbibliothek und wurden von den Angreifern schnell formatiert. Der Kunde konnte jedoch ein originales, unformatiertes Band mit einem recht alten Sicherungsdatum retten, das dann komplett auf das nun leere Windows-Volume mit insgesamt 6 TB zurückgespielt wurde. Erst dann wurde Ontrack beauftragt, die Möglichkeiten der Datenwiederherstellung zu prüfen. Der HP-Server DL380 mit den 55 3-TB-Festplatten wurde zu Ontrack nach Böblingen transportiert wie auch eine hohe Anzahl von LTO8 Bänder. Weitere Qnap NAS Systeme wurden in der Schweizer Ontrack Niederlassung in Wallisellen bei Zürich bearbeitet um zügig und schnell verwertbare Diagnose Ergebnisse für den Kunden und weitere Entscheidungen zu erhalten.
Die Lösung
Bei der Diagnose wurde eine große Anzahl der gesuchten Veeam VBK-Dateien auf dem Windows-Datenträger mit Ontrack Tools erfolgreich gefunden und die aktuellsten Backup Sicherungen mit 27 virtuellen Maschinen gemäß einer Prioritätenliste als komplette und funktionsfähige Vmware VMDK Dateien extrahiert. Diese Extrahierung war notwendig, da durch die vom Kunden durchgeführte Rücksicherung des LTO8-Bandes teilweise einige Datensätze partiell überschrieben und die VBK Sicherungsdateien beschädigt wurden.
Das Ergebnis
Ein großer Teil der Daten konnte noch in mehreren Schritten repariert und extrahiert werden.
Später konnten auch 19 deutlich ältere, schnell formatierte LTO 8-Bandsicherungen erfolgreich wiederhergestellt werden.Der Angriff betraf auch zahlreiche europäische Niederlassungen des Kunden. Hier waren überwiegend QNAP NAS-Systeme im Einsatz, die virtuelle VMs unter VMware gespeichert hatten, darunter auch Backup-VMs, die teilweise gelöscht oder intern mit einem anderen Dateisystem neu formatiert worden waren. Auch hier konnte Ontrack in 90% der sieben beauftragten Fälle die kompletten Backup-Daten erfolgreich wiederherstellen.
Wenden Sie sich daher an Ihr Ontrack-Datenrettungsteam in der Schweiz, um zu erfahren, wie wir Sie bei der Wiederherstellung von Daten nach dem Ausfall Ihres Enterprise NAS oder SAN Storage aber insbesondere nach einem Ransomware Incident unterstützen können.
Weitere Informationen zum Thema finden Sie unter:
Datenwiederherstellung nach einem Ransomware-Angriff
Datenrettung Tapes bei Ransomware
Lesen Sie unseren Ransomware-Leitfaden
Kontakt Ontrack Schweiz