Skip to content

Case study: herstel van SQL Server en database na een ransomware-aanval

Case study: herstel van SQL Server en database na een ransomware-aanval

Image of a digital storage device with a screen displaying "Random Username" and "Recovery: 100%" on a red background. Text reads "Case Study: Remote Ransomware Recovery" with a "Data Recovery" badge at the bottom right.

Apparaattype:
Thecus NAS

Bestandssysteem:
ReFS

Klant:
Onafhankelijk advocatenkantoor

[playht_listen_button inline=”yes” tag=”p”]

Een vooraanstaand onafhankelijk advocatenkantoor werd recent getroffen door een ernstige ransomware-aanval die zowel de productiedata als kritieke back-ups compromitteerde. De aanval versleutelde essentiële Microsoft SQL Server-databases, Veeam-back-upbestanden (VBK) en virtuele schijfbestanden (VMDK), waardoor het kantoor geen toegang meer had tot cruciale cliënt- en operationele gegevens.

Zonder werkende back-ups liep het kantoor het risico op aanzienlijke operationele stilstand en ernstig gegevensverlies. Op doorverwijzing van hun incidentrespons­partner nam het advocatenkantoor contact op met DriveSavers Data Recovery, een marktleider in complexe gegevensherstel, ook na een ransomware-aanval.

Deze case study laat zien hoe de technische expertise van het bedrijf, veilige methoden voor herstel op afstand en op maat gemaakte tools erin slaagden de gegevens van het kantoor succesvol te herstellen.

De situatie van gegevensverlies

De ransomware-aanval richtte zich op de back-uprepository van het kantoor, opgeslagen op een Thecus NAS met een 12 TB iSCSI LUN, geformatteerd met het ReFS-bestandssysteem. Drie Veeam-back-upbestanden raakten zwaar beschadigd, waaronder één met 20 essentiële snapshots die nodig waren voor het herstellen van SQL Server-databases. Daarnaast waren 18 virtuele schijfbestanden (VMDK) binnen deze back-ups beschadigd. De Veeam-back-upbestanden werden verwijderd van de NAS, een veelgebruikte tactiek bij ransomware-aanvallen.

Het patroon kwam overeen met typische ransomware-aanvallen, waarbij productiedata werd versleuteld en back-upbestanden werden verwijderd of gedeeltelijk overschreven, waardoor de organisatie geen betrouwbare manier had om de operaties te herstellen.

Proces en strategie voor SQL Server-herstel

DriveSavers Data Recovery begon met een remote evaluatie op dezelfde dag, gevolgd door een goedgekeurde offerte voor prioriteitsservice. Ingenieurs voerden een herstelproces in meerdere fasen uit, afgestemd op de specifieke uitdagingen van de beschadigde SQL Server-back-ups en ReFS-bestandssysteemstructuren.

De eerste fase bestond uit een diepgaande analyse van ReFS-metadata om de verwijderde Veeam-back-upbestanden te identificeren en te reconstrueren. De datarecovery-ingenieurs van DriveSavers ontwikkelden gespecialiseerde algoritmen om datagaten als gevolg van gedeeltelijke overschrijvingen op te lossen. Hierdoor konden twee VBK-bestanden met 98% integriteit worden hersteld, waardoor cruciale herstelpunten voor SQL Server en de extractie van virtuele machine-gegevens behouden bleven.

A person in white gloves is using a computer. The screen displays hexadecimal code and messages about an imaging process, including details such as dates, times, and statuses like "inactive state." A ViewSonic monitor is shown.
A person sits at a desk with multiple computer monitors displaying data and graphs. The room is filled with electronic equipment and shelving. The individual is focused on the screens, suggesting they are working or analyzing information.

De volgende fase richtte zich op het herstellen van de SQL Server-database. De primaire SQL Server-databasebestanden (MDF en LDF) waren aanzienlijk beschadigd, waardoor normaal herstel onmogelijk was. Ingenieurs isoleerden de databases, voerden integriteitscontroles uit en gebruikten speciaal ontwikkelde SQL-hersteltools om ontbrekende segmenten te reconstrueren. Het uiteindelijke herstel van de database bereikte een slagingspercentage van 99 %, met minimaal gegevensverlies dat slechts enkele niet-kritieke rijen trof. DriveSavers leverde de klant een volledig aankoppelbare database.

De laatste stap bestond uit het extraheren en herstellen van de virtuele machinedata die waren opgeslagen in de VMDK-bestanden. De ingenieurs van DriveSavers reconstrueerden zorgvuldig de VMDK-bestandssystemen vanuit de gerepareerde VBK-back-ups en herstelden met succes gemiddeld 98% van de virtuele machinedata die nodig waren om cruciale bedrijfssystemen te herstellen.

Onze klant stond voor een ongekende situatie van gegevensverlies, waardoor hij zich in een kritieke toestand bevond. Dit complexe herstel vereiste een veelzijdige aanpak, waarbij ons team werd aangezet tot innoveren en het verkennen van onbekend terrein. Het succesvolle resultaat redde niet alleen van onschatbare waarde zijnde gegevens, maar versterkte ook ons streven om ongeëvenaarde ondersteuning te bieden en uitzonderlijke resultaten voor onze klanten te behalen.
–Shane Denyer, Ontwikkelaar gegevensherstel

Veilig proces voor herstel op afstand

Het volledige gegevensherstel werd op afstand uitgevoerd via een zeer veilig proces dat was ontworpen om de gevoelige gegevens van de klant te beschermen. DriveSavers Data Recovery stelde een 256-bit AES-versleutelde verbinding in met TLS-protocollen en meerlagige wachtwoordauthenticatie om maximale gegevensbescherming te garanderen gedurende het hele project.

Alle gegevens bleven tijdens het herstel op de locatie van de klant, wat volledige naleving van wettelijke vertrouwelijkheidsnormen en regelgevende verplichtingen garandeerde.

Resultaten: Succesvol herstel van SQL Server en database

Het herstel van SQL Server en de database was zeer succesvol. Twee Veeam-back-upbestanden werden hersteld met 98% integriteit, inclusief kritieke snapshots die nodig waren voor verder systeemherstel. De SQL Server-databases werden hersteld met 99% integriteit en de gegevens van virtuele machines werden hersteld met een gemiddelde integriteit van 98%.

Conclusie

Deze case study benadrukt de expertise van DriveSavers Data Recovery in het herstellen van SQL Server en het terugzetten van databases na een zeer complexe ransomware-aanval. Het succesvolle herstel van de SQL Server-databases, Veeam-back-ups en virtuele machinedata van het advocatenkantoor toont aan dat het bedrijf in staat is meerlagige gegevenscorruptie te behandelen onder extreme omstandigheden.

In sectoren zoals juridische dienstverlening, waar gegevensintegriteit en vertrouwelijkheid van het grootste belang zijn, kan een samenwerking met een bewezen gegevensherstelprovider het verschil maken tussen volledig operationeel herstel en een catastrofaal gegevensverlies.

Als uw organisatie deskundige SQL Server-herstel of ransomware-gegevensherstel nodig heeft, neem dan vandaag nog contact op met DriveSavers Data Recovery voor directe ondersteuning.

*De standaard doorlooptijd bij DriveSavers is 1–2 werkdagen, Economy 5–7 werkdagen en Priority biedt 24/7-service – in sommige gevallen zijn door unieke omstandigheden langere termijnen nodig, mits goedgekeurd door de klant.

Waarom advocatenkantoren vaak doelwit zijn van ransomware

Advocatenkantoren zijn vaak een belangrijk doelwit voor ransomware-aanvallen vanwege de zeer gevoelige gegevens die zij beheren. Vertrouwelijke klantendossiers, juridische strategieën, intellectueel eigendom en bevoorrechte communicatie maken juridische organisaties aantrekkelijk voor cybercriminelen die op zoek zijn naar hoge uitbetalingen.

Het risico op zowel reputatieschade als wettelijke consequenties vergroot de druk om losgeld te betalen, waardoor het voor advocatenkantoren cruciaal is om zowel sterke gegevensbeschermingsstrategieën te hebben als toegang tot betrouwbare herstelservices.

Preventiestrategieën voor de bescherming van SQL Server en back-ups

Hoewel DriveSavers Data Recovery de kritieke gegevens van het advocatenkantoor met succes heeft hersteld, benadrukken ransomware-incidenten het belang van proactieve strategieën voor gegevensbescherming. Het implementeren van preventieve maatregelen kan het risico op gegevensverlies verkleinen en herstelinspanningen vereenvoudigen.

Het behouden van onveranderlijke back-ups kan helpen voorkomen dat ransomware opgeslagen gegevens wijzigt of verwijdert, waardoor een betrouwbaar herstelpunt bij een aanval gewaarborgd blijft. De algemeen aanbevolen 3-2-1-back-upstrategie — drie kopieën van gegevens bewaren op twee verschillende soorten media, met één kopie offsite — biedt extra bescherming door redundantie.

Fysiek geïsoleerde back-ups (air-gapped), die gegevens scheiden van netwerktoegang, kunnen extra bescherming bieden tegen externe aanvallen. Regelmatige integriteitstests van back-ups zijn net zo belangrijk, omdat ze ervoor zorgen dat opgeslagen gegevens succesvol kunnen worden hersteld wanneer dat nodig is. Het versterken van endpoint-beveiligingsmaatregelen en het gebruik van gedragsgebaseerde dreigingsdetectietools kan ook helpen om ransomware-activiteiten te identificeren voordat deze grootschalige schade aanrichten.

Door deze strategieën te integreren, kunnen organisaties de veerkracht van hun gegevens versterken en het risico op langdurige uitvaltijd tijdens een ransomware-incident verkleinen.

Senior Marketingmanager bij DriveSavers
Schrijft u over DriveSavers, gegevensherstel of een ander technologiegerelateerd onderwerp?
Neem contact met ons op.

Back To Top
Zoeken