Desafío
Este cliente sufrió un ciberataque en el que el volumen atacado se utilizaba originalmente para realizar copias de seguridad de datos en cintas LTO8 a intervalos regulares. La mayoría de estas cintas de copia de seguridad se encontraban en la biblioteca de cintas en el momento del incidente y fueron formateadas rápidamente por los atacantes. Sin embargo, el cliente guardó una cinta original sin formatear con una fecha de copia de seguridad relativamente antigua, que se restauró por completo en el volumen de Windows, ahora vacío, con un total de 6 TB. Sólo entonces el cliente encargó a Ontrack que examinara las opciones de recuperación de datos.
Además, el ataque afectó a numerosas suboficinas europeas del cliente en las que predominaban los sistemas NAS de QNAP.
Solución
El servidor HP DL380 con los 55 discos duros de 3TB y las cintas LTO8 fueron transportados a Ontrack en Böblingen, Alemania. Durante el diagnóstico, se encontró con éxito un gran número de los archivos buscados en el volumen de Windows utilizando las herramientas propias de Ontrack y se extrajeron 27 registros según una lista de prioridades.
La restauración de la cinta LTO8 sobrescribió parcialmente algunos de los conjuntos de datos y dañó los archivos de copia de seguridad. Sin embargo, una gran parte de los datos aún pudo repararse y extraerse en varios pasos. En un momento posterior, también se recuperaron con éxito 19 copias de seguridad en cinta LTO8 de formato rápido significativamente más antiguas del ataque del ransomware.
Los sistemas NAS de QNAP habían almacenado máquinas virtuales bajo VMware, incluidas máquinas virtuales de copia de seguridad que se habían eliminado parcialmente o reformateado internamente con otro sistema de archivos.
Resultado
Ontrack restauró con éxito los datos completos de la copia de seguridad en el 90% de los siete casos solicitados.