Fallstudie: återställning av SQL Server och databas efter en ransomware-attack
Fallstudie: återställning av SQL Server och databas efter en ransomware-attack
Enhetstyp:
Thecus NAS
Filsystem:
ReFS
Kund:
Oberoende advokatbyrå
[playht_listen_button inline=”yes” tag=”p”]
En framstående oberoende advokatbyrå drabbades nyligen av en allvarlig ransomware-attack som komprometterade både produktionsdata och kritiska säkerhetskopior. Attacken krypterade viktiga Microsoft SQL Server-databaser, Veeam-säkerhetskopior (VBK) och virtuella maskindiskfiler (VMDK), vilket gjorde att byrån inte kunde komma åt avgörande klient- och verksamhetsdata.
Utan fungerande säkerhetskopior stod byrån inför risken för betydande driftstopp och allvarlig dataförlust. På rekommendation av sin incidentresponspartner kontaktade advokatbyrån DriveSavers Data Recovery, en ledare inom avancerad dataåterställning, även efter ransomware-attacker.
Denna fallstudie beskriver hur företagets tekniska expertis, säkra metoder för fjärråterställning och specialutvecklade verktyg framgångsrikt återställde byråns data.
Ransomware-attacken riktades mot byråns backup-repository som lagrades på en Thecus NAS med en 12 TB iSCSI LUN formaterad med ReFS-filsystemet. Tre Veeam-säkerhetskopior skadades allvarligt, inklusive en som innehöll 20 viktiga ögonblicksbilder som behövdes för att återställa SQL Server-databaser. Dessutom var 18 virtuella diskfiler (VMDK) inbäddade i dessa säkerhetskopior korrupta. Veeam-säkerhetskopiorna raderades från NAS:en, en vanlig taktik vid ransomware-attacker.
DriveSavers Data Recovery inledde med en fjärrutvärdering samma dag, följt av en godkänd offert för prioriterad service. Ingenjörerna genomförde en flerfasig återställningsprocess anpassad till de specifika utmaningar som de skadade SQL Server-säkerhetskopiorna och ReFS-filsystemstrukturerna innebar.
Det första steget innebar en djupgående analys av ReFS-metadata för att identifiera och rekonstruera de raderade Veeam-säkerhetskopiorna. DriveSavers dataåterställningsingenjörer utvecklade specialiserade algoritmer för att åtgärda luckor i data orsakade av partiella överskrivningar. Detta resulterade i att två VBK-filer återställdes med 98 % integritet, vilket bevarade viktiga återställningspunkter för SQL Server och extrahering av virtuella maskindata.
Nästa fas fokuserade på reparation av SQL Server-databasen. De primära SQL Server-databasfilerna (MDF och LDF) var kraftigt skadade, vilket förhindrade normal återställning. Ingenjörerna isolerade databaserna, utförde integritetskontroller och använde specialbyggda SQL-reparationsverktyg för att återskapa saknade segment. Den slutliga databasan återställdes med 99 % framgång, med minimal dataförlust som endast påverkade några icke-kritiska rader. DriveSavers levererade en fullt monterbar databas till kunden.
Det sista steget innebar att extrahera och återställa de virtuella maskindata som lagrades i VMDK-filerna. DriveSavers ingenjörer rekonstruerade noggrant VMDK-filsystemen från de reparerade VBK-säkerhetskopiorna och lyckades återställa i genomsnitt 98 % av de virtuella maskindata som behövdes för att återställa viktiga affärssystem.
Vår kund stod inför en aldrig tidigare skådad dataförlust och befann sig i en kritisk situation. Denna komplexa återställning krävde ett mångfacetterat angreppssätt, vilket drev vårt team att innovera och utforska okända områden. Det framgångsrika resultatet räddade inte bara ovärderlig data, utan stärkte också vårt engagemang för att erbjuda oöverträffat stöd och leverera exceptionella resultat till våra kunder.
–Shane Denyer, Utvecklare för dataåterställning
Hela dataåterställningen utfördes på distans med en mycket säker process som utformats för att skydda kundens känsliga information. DriveSavers Data Recovery etablerade en AES-256-bitars krypterad anslutning med TLS-protokoll och flerstegs lösenordsautentisering för att säkerställa maximalt dataskydd under hela projektet.
All data stannade hos kunden under återställningen, vilket säkerställde fullständig efterlevnad av juridiska sekretessstandarder och regulatoriska krav.
Återställningen av SQL Server och databasen var mycket framgångsrik. Två Veeam-säkerhetskopior återställdes med 98 % integritet, inklusive kritiska ögonblicksbilder som behövdes för ytterligare systemåterställning. SQL Server-databaserna återställdes med 99 % integritet och data från virtuella maskiner återställdes med en genomsnittlig integritet på 98 %.
Denna fallstudie lyfter fram DriveSavers Data Recoverys expertis inom SQL Server-återställning och databaserestaurering efter en mycket komplex ransomware-attack. Den framgångsrika återställningen av advokatbyråns SQL Server-databaser, Veeam-säkerhetskopior och virtuella maskindata visar företagets förmåga att hantera flerskiktad datakorruption under extrema omständigheter.
För branscher som juridiska tjänster, där dataintegritet och konfidentialitet är avgörande, kan ett samarbete med en beprövad leverantör av dataåterställning vara skillnaden mellan fullständig operativ återhämtning och katastrofal dataförlust.
Om din organisation behöver experthjälp med SQL Server-återställning eller dataåterställning efter en ransomware-attack, kontakta DriveSavers Data Recovery redan idag för omedelbar assistans.
*DriveSavers standardleveranstid är 1–2 arbetsdagar, Economy 5–7 arbetsdagar och Priority är en dygnet runt-tjänst – i vissa fall kan unika omständigheter kräva längre tid, med kundens godkännande.
Varför advokatbyråer ofta är måltavlor för ransomware
Advokatbyråer är ofta huvudmål för ransomware-attacker på grund av de mycket känsliga data de hanterar. Konfidentiella klientakter, juridiska strategier, immateriella rättigheter och privilegierad kommunikation gör juridiska organisationer attraktiva för cyberbrottslingar som är ute efter höga lösensummor.
Risken för både skada på anseendet och regulatoriska konsekvenser ökar trycket att betala lösensummor, vilket gör det avgörande för advokatbyråer att ha både starka dataskyddsstrategier och tillgång till tillförlitliga återställningstjänster.
Förebyggande strategier för att skydda SQL Server och säkerhetskopior
Även om DriveSavers Data Recovery framgångsrikt återställde advokatbyråns kritiska data, understryker ransomware-incidenter vikten av proaktiva strategier för dataskydd. Att införa förebyggande åtgärder kan minska risken för dataförlust och förenkla återställningsarbetet.
Att upprätthålla oföränderliga säkerhetskopior kan hjälpa till att förhindra att ransomware ändrar eller raderar lagrad data, vilket säkerställer en tillförlitlig återställningspunkt vid en attack. Den allmänt rekommenderade 3-2-1-säkerhetskopieringsstrategin — att behålla tre kopior av data, lagrade på två olika typer av medier, med en kopia lagrad utanför anläggningen — ger extra skydd genom redundans.
Säkerhetskopior med fysisk isolering (air-gapped), som separerar data från nätverksåtkomst, kan ge extra skydd mot fjärrattacker. Regelbundna tester av säkerhetskopians integritet är lika viktiga eftersom de säkerställer att lagrad data kan återställas framgångsrikt när det behövs. Att stärka säkerhetsåtgärder på ändpunkter och använda beteendebaserade hotdetekteringsverktyg kan också hjälpa till att identifiera ransomware-aktivitet innan den orsakar omfattande skada.
Genom att integrera dessa strategier kan organisationer stärka sin datamotståndskraft och minska risken för långvariga driftstopp vid en ransomware-attack.
English (United States) 
English (Australia) 
French (France) 
English (UK) 
French (Canada) 
English (Canada) 
Spanish (Mexico) 
German 
Dutch 
Italian 
Finnish 
Polish 
Norwegian 
Swedish 
Danish 
Spanish (Spain) 
Chinese 
Japanese 
German (Austria)