Datenwiederherstellung von durch Ransomware vernichteten Hyper-V-Servern
Wir übernehmen für Sie die professionelle Wiederherstellung von Daten und haben langjährige Erfahrung mit allen gängigen Systemen.
DIREKT ZUR ANFRAGE

Datenwiederherstellung von durch Ransomware vernichteten Hyper-V-Servern

Im Zuge einer Ransomware-Attacke wurde der Hyper-V-Server verschlüsselt und die Iperius Backups auf der Synology NAS wurden gelöscht.

13. Mai 2022

Ausgangssituation: Ransomware verschlüsselt Server und löscht Backups

Auf die Empfehlung der Hiscox Versicherung hin, wandte sich ein Steuerberater dessen Server-Infrastruktur durch einen Hacker-Angriff zerstört wurde für einen High-Priority Einsatz an unsere Attingo Techniker.

Der Kunde hatte zwar noch ein zwei Wochen altes Offline-Backup, welches nicht vernichtet wurde. Dieses war aber aufgrund der laufenden Jahresabschlüsse zur Weihnachtszeit zu alt gewesen und ein Nachbuchen wäre mit großem Aufwand verbunden gewesen. Zusätzlich existierte über eine FTP-Verbindung eine Iperius Datensicherung auf eine Synology, die mangels nativen Zugriff auf das NAS vom Angreifer nicht verschlüsselt sondern gelöscht wurden.

Diagnose der NAS: keine physischen Fehler, 100% verfügbar

Die vier 12TB großen Festplatten wurden fehlerfrei auf weitere Arbeitskopien geklont, um anschließend parallelisiert das RAID5 zusammenzusetzen und das 32TB LVM zu analysieren. Die Btrfs Partition wies noch einen Datenbestand von 12TB auf, hierbei handelte es sich aber um private Daten auf einem unabhängigen Share für den sich die Erpresser offensichtlich nicht interessierten.

Kurz-Infos zur Fallstudie:

  • NAS-Server: Synology DS416 mit je zwei Seagate Ironwolf ST12000VN0007 bzw. ST12000VN0008
  • RAID-Level: RAID5 auf md-Softwarebasis mit einem zusätzlichen LVM im logischen Laufwerk
  • Dateisystem: Btrfs
  • Benötigte Daten: Backups von Hyper-V-Servern als vhdx

Datenrettung: Wiederherstellung gelöschter Dateien

Im Rahmen der Datenwiederherstellung wurde die gesamte NAS-Partition auf Sektorebene durchforstet. Dabei konnten in verbliebenen Dateisystem-Fragmenten eine Vielzahl an gelöschten Dateien ausfindig gemacht und rekonstruiert werden. In Rücksprache mit dem Kunden wurden die geretteten Daten abschließend noch gezielt getestet, um zu ermitteln wie erfolgreich der Versuch der Wiederherstellung war. Es stellte sich heraus, dass mit der Wiederherstellung der gelöschten server_backup Daten fast der gesamte Datenverlust kompensiert werden konnte. Der Kunde hatte nach nur drei Tagen Stillstand seinen letztgültigen Datenbestand wieder und war nach der Datenrettung durch Attingo zeitnahe wieder handlungsfähig um die Jahresabschlüsse rechtzeitig abzugeben.

24h-Service 98% Erfolgsrate
iso 9001 siegel grau https://www.allianz-fuer-cybersicherheit.de
DI (FH) Markus Häfele
Geschäftsführer
(040) 54887560 info@attingo.de WhatsApp Live-Chat Diagnose-Anfrage

Attingo-Magazin

Pressemeldungen & Aktuelles
Attingo in der Presse
Messetermine und Konferenzen
Blog
Stichwortverzeichnis
FAQ - Häufig gestellte Fragen
Fallstudien: Datenrettung