Cuando las organizaciones son atacadas por ransomware y no se puede acceder a datos cruciales, puede ser un momento extremadamente estresante para todos los implicados. Conseguir acceso a esos datos críticos lo antes posible, es vital para garantizar que el tiempo de inactividad se minimiza y su organización puede volver a la normalidad.
Los últimos años se han caracterizado por un aumento de los ataques de ransomware.
En los últimos años, los ataques de ransomware se han vuelto más frecuentes, por lo que nuestro equipo de ingenieros altamente cualificados, ha estado trabajando duro para asegurar que tenemos la experiencia necesaria, para recuperar datos de una gama de diferentes malware.
Aunque ningún caso de ransomware es igual, existen tres tipos principales:
Scareware
Una forma simple de ransomware que consiste en programas informáticos falsos diseñados para engañar al usuario para que compre o descargue software peligroso.
Virus de pantalla de bloqueo
Un virus que bloquea el ordenador del usuario y muestra una ventana a tamaño completo con un mensaje, en el que se indica que el usuario debe pagar un rescate para desbloquear el ordenador.
Ransomware de encriptación
El atacante se infiltra en la estructura de datos y archivos de un ordenador, cifrando cada archivo y carpeta.
¿Qué hacer si te ha atacado un ransomware?
- Mantenga la calma. Cualquier decisión precipitada podría causar una mayor pérdida de datos.
- Compruebe su conjunto de copias de seguridad más reciente.
- No pague el rescate ya que no hay garantía de que recupere sus datos.
- Póngase en contacto con nosotros para obtener asesoramiento y explorar las opciones de recuperación de datos.
-
A continuación, se muestran algunos ejemplos de casos de recuperación de datos de ransomware con éxito que hemos completado.
Un ransomware ataca un servidor: se borran las cintas de copia de seguridad
Un ataque de ransomware al servidor de una empresa cifró los datos de Microsoft Dynamics 365 y exigió el pago. Las copias de seguridad recientes del servidor se almacenaban en múltiples cintas de copia de seguridad LTO-6, que habían sido borradas por el malware.
Tras evaluar el alcance del ataque de ransomware, los representantes de Ontrack identificaron las cintas de copia de seguridad de la empresa como la mejor opción para recuperar los datos, a pesar de que el malware las había borrado. Se enviaron 23 cintas de copia de seguridad LTO-6 de la biblioteca de copias de seguridad a las oficinas de Ontrack. Los ingenieros trabajaron conjuntamente con el departamento de investigación y desarrollo para desarrollar una solución personalizada que permitiera recuperar los datos de las cintas borradas.
Ontrack fue capaz de restaurar 46 TB de datos de 18 de las cintas LTO-6. Debido al tipo de ataque que sufrieron las cintas, Ontrack tuvo que reparar los daños lógicos, enviando los datos y las cintas por separado de vuelta al cliente.
Ontrack fue capaz de restaurar 46TB de datos de 18 de las cintas LTO-6 borradas.
Ontrack cuenta con la ayuda tecnológica de NetApp para solucionar una infección de ransomware.
Ontrack cuenta con la ayuda tecnológica de NetApp para solucionar una infección de ransomware.
El portátil de un único usuario de una gran empresa farmacéutica se infectó con el ransomware CryptoLocker.
Este tipo de malware cifra los archivos del usuario y retiene la clave de cifrado hasta que pague la cantidad del rescate. El portátil estaba conectado a la red corporativa, lo que permitió al malware infectar un volumen CIFS que estaba configurado como recurso compartido de archivos en un FAS de NetApp. El malware pudo infiltrarse en el recurso compartido y cifrar la mayoría de los archivos. El equipo de TI no fue notificado de la infección hasta que expiró el periodo de retención de las copias de seguridad, lo que significa que éstas sólo contenían datos cifrados. El impacto total se tradujo en datos inaccesibles en:
■ 46 unidades
■ Un agregado
■ Un volumen infectado en un RAID-DP
Para llevar a cabo la recuperación, fue necesario desconectar el agregado, lo que afectó a 17 volúmenes en total.
El cliente trajo sus 46 unidades a nuestro laboratorio para que las evaluáramos, y los ingenieros de Ontrack se pusieron a trabajar en una solución.
El cliente envió sus 46 unidades a nuestro laboratorio para que las evaluáramos, y los ingenieros de Ontrack se pusieron a trabajar en una solución.
El equipo de ingenieros de Ontrack:
■ Reconstruyó prácticamente los grupos RAID que estaban repartidos en diez estanterías diferentes.
■ Reconstruyó virtualmente el agregado.
■ Reconstruido virtualmente el volumen crítico.
Un reto adicional en esta recuperación fue que el agregado estuvo en uso durante dos semanas después de que se produjera el incidente, lo que dio lugar a que algunos datos se sobrescribieran.
Ontrack fue capaz de reconstruir virtualmente el volumen que contenía el recurso compartido CIFS y los datos encriptados.
La solución de NetApp para la recuperación de datos de CIFS y los datos encriptados fue un éxito.
Aprovechando el sistema operativo (OnTap) y el sistema de ficheros (WAFL) propiedad de NetApp, los ingenieros de Ontrack utilizaron varios puntos de coherencia para "retroceder" en el tiempo y encontrar y fusionar copias sin cifrar de los datos críticos para devolvérselos al cliente. Este tipo de recuperación sólo es posible en sistemas de almacenamiento como el FAS de NetApp, debido a la forma en que se almacenan los datos en el volumen.
Sistema de ficheros de NetApp.
Puede obtener más información sobre cómo hemos ayudado a nuestros clientes a recuperar datos tras un ataque de ransomware aquí.