Case-history riguardo il recupero dati cancellati o da hard disk danneggiati

Cos'è Cryptolocker

I Ransomware sono una tipologia di malware, simili a virus informatici, che inabilitano l'uso del dispositivo e richiedono un riscatto in denaro per il ripristino. I più diffusi sono proprio i derivati di Cryptolocker che entrano in azione cifrando i dati del disco e richiedendo un riscatto per recuperare i dati in chiaro. 

Come funziona un ransomware

Spesso i ransomware che fanno uso della crittografia agiscono crittografando i dati di un file e quindi cancellando il file originale, grazie a questo comportamento a volte è possibile recuperare i dati originali cancellati dal malware. In ambiente Windows inoltre è possibile accedere alle shadow copy dei file (se impostate) qualora si riesca ad accedere tempestivamente.

Purtroppo l'infezione aveva colpito il server aziendale il Sabato ad orario di pranzo ed il personale si è reso conto del problema solo il Lunedì, tutte le shadow copy erano già state sovrascritte. Abbiamo perciò deciso di affidarci al recupero dei dati cancellati dal disco fisso del server e dai dischi raid del precedente NAS.

Come evitare di perdere dati

In generale, comunque, l'unica soluzione che copre al 100% da questo tipo di problemi è la prevenzione. Un'ottimo antivirus centralizzato, filtri antispam adattivi per le email e una politica di backup efficace ed efficiente dovrebbero essere lo standard minimo di sicurezza per un'infrastruttura informatica sempre più presente in ambito aziendale.

Problema iniziale

Lo scenario iniziale era impietoso, a seguito di un attacco informatico, per mezzo di un ransomware derivato da Cryptolocker, tutti i dati del server aziendale che contiene il gestionale e tutta la documentazione tecnica erano irrimediabilmente persi. A complicare la situazione l'array RAID di backup era stato azzerato per una manutenzione troppo invasiva.

La nostra soluzione

Dopo aver preso atto della situazione iniziale abbiamo provveduto ad isolare i sistemi infettati ed a recuperare tutti i dischi in cui erano presenti dati vitali, in particolare abbiamo agito sul disco cifrato del server e sui dischi in raid di un precedente NAS di backup.

Risultati ottenuti

I dischi del backup eliminato ci hanno permesso di rientrare in possesso della maggior parte dei dati che ormai erano dati per persi, grazie ad una scansione a basso livello siamo riusciti ad recuperare circa 103GB di archivi, disegni autocad, backup MSSQL e gestionale, pdf e molto altro ancora.