从勒索软件攻击中恢复数据

2020年11月12日,星期四 通过 蒂莉·霍兰(Tilly Holland)

当组织遭受勒索软件攻击时,关键数据可能’无法访问它,这对所有参与者来说都是一个非常压力的时期。尽快访问关键数据对于确保最大程度地减少停机时间和使组织恢复正常至关重要。  

在过去的几年中,勒索软件攻击变得越来越普遍,因此我们的高技能工程师团队一直在努力确保我们拥有从各种不同的恶意软件中恢复数据的专业知识。   

即使没有勒索软件情况相同,也存在三种主要类型: 

恐吓软件 

勒索软件的一种简单形式,包括旨在诱骗用户购买或下载危险软件的伪造计算机程序。  

锁屏病毒 

锁定用户的病毒’并显示一个全尺寸窗口,并显示一条消息,指出用户必须支付赎金才能解锁计算机。 

加密勒索软件               

攻击者渗透到计算机’的数据和文件结构,对每个文件和文件夹进行加密。 

如果你该怎么办’被勒索软件打击了吗? 

  1. 保持镇定。任何轻率的决定都可能导致进一步的数据丢失。 
  2. 检查最新的备份集。
  3. 不要支付赎金,因为不能保证您’会取回您的数据。 
  4. 请与我们联系以获取建议并探索数据恢复选项。 

以下是我们已完成的成功勒索软件数据恢复案例的一些示例。 

勒索软件攻击服务器– backup tapes erased

公司服务器的勒索软件攻击对Microsoft Dynamics 365数据进行了加密,并要求付款。服务器的最新备份存储在多个LTO-6备份磁带上,这些磁带已被恶意软件擦除。 

在评估勒索软件攻击的程度之后,Ontrack代表确定了该公司’的备份磁带是恢复数据的最佳选择—即使恶意软件已将其删除。备份库中的23个LTO-6备份磁带已发送到Ontrack’的办公室。工程师与研发部门合作开发了定制解决方案,以从擦除的备份磁带中恢复数据。

步入正轨能够从18个LTO-6磁带中恢复46TB的数据。由于对磁带的攻击类型不同,Ontrack必须修复逻辑损坏,将数据和磁带分别运回给客户。

NetApp协助Ontrack’解决勒索软件感染的技术。

一个用户’一家大型制药公司的笔记本电脑感染了CryptoLocker勒索软件。

 这种类型的恶意软件会加密用户’的文件并保留加密密钥,直到您支付赎金为止。笔记本电脑已连接到公司网络,该公司网络使恶意软件能够感染CIFS卷,该卷已设置为NetApp FAS上的文件共享。该恶意软件能够渗透文件共享并加密大多数文件。直到备份保留期到期,才通知IT团队感染情况,这意味着备份仅包含加密数据。总体影响导致无法获得以下数据: 

■46个驱动器

■一台

■在RAID-DP上感染了一个卷

要执行恢复,需要使聚合脱机,这总共影响了17个卷。 客户将他们的46个驱动器带入我们的实验室进行评估,Ontrack工程师开始研究解决方案。

 Ontrack的工程团队:

■虚拟重建了散布在十个不同架子上的RAID组。

■虚拟重建聚合。

■虚拟重建关键卷。

此恢复的另一个挑战是事件发生后两周内一直在使用聚合,导致某些数据被覆盖。

步入正轨能够虚拟地重建包含CIFS共享和加密数据的卷。

利用NetApp’的专有操作系统(OnTap)和文件系统(WAFL),Ontrack工程师使用多个一致性点来“walk back”及时找到并合并关键数据的未加密副本以返回给客户。这种类型的恢复只能在NetApp之类的存储上进行’之所以使用FAS,是因为数据在卷上的存储方式。

 您可以了解更多有关勒索软件攻击后我们如何帮助客户恢复数据的信息 这里。 

 

载入更多评论
谢谢你的意见!您的评论必须先获得批准


新密码