Recuperar con Veeam Backup vmdk, para servidor infectado con Cryptolocker

por

Buenas,

Estas ultimas semanas se ha puesto de moda otra vez el famoso virus Cryptolocker, un virus que viene a través de un email, diciendo que es de Correos con un link que te descarga un .exe y un .zip. Este virus, encripta los ficheros de tu pc y las unidades de red que tengas mapeadas en el pc. Estas semanas a habido muchos casos, parece ser que llegas al climax si pinchas en el link de este correo, en fin. Este virus a echo bastante daño a las empresas, algunas mas que a otras.

Situación del Laboratorio: un usuario a pinchado el link de email y le ha encriptado los ficheros de pc y de las unidades de red que tenia mapeadas, compras, financiero y sistemas. Se apaga el pc y se saca de la red. Y ahora, que hacemos con el servidor de ficheros? lo restauramos entero? o solo el disco donde estaban estas carpetas?. Pues probamos a recuperar solo el disco ya que si tiene mas discos que no están infectados , el tiempo de restauración puede ser las largo que un día sin pan.

NOTA: antes de proceder a lo expuesto en este post, revisar estos otros 2, quizá os convenga mas

VBR Restore VM Hard Disk con Quick Rollback

Veeam Backup: Restauración de Maquina Virtual con Quick Rollback

Vemos el disco E: donde están las carpetas con los ficheros infectados, los usuarios y permisos.

1

Apagamos la vM y removemos el disco donde están los ficheros encriptados, lo podemos borrar del inventario o desde el disco (de esta manera lo eliminas completamente)

2

Como yo me lo quiero guardar por si acaso, lo muevo a una subcarpeta dentro de la carpeta del servidor de ficheros.

3

Abro el veeam y le doy a restore, en el menú elijo restore VM hard disks. Aviso: la vM tiene que estar apagada, si se te olvida, no te preocupes, que veeam te lo recordara mas adelante.

4

Elijo una copia del servidor de ficheros anterior a la infección

 

5

Tenemos una full

6

Ahora elegimos el vmdk que queremos restaurar, seleccionamos la vM con Browse y le damos a change, para elegir el datastore, elegimos el datastore donde se encuentra el servidor de ficheros.

8

Next

9

Finalizar

10

Progreso de la restauración……..

11

Vamos a la vM y vemos que ha agregado el disco, encendemos la vM

12

Y vemos que el disco esta, con sus carpetas, ficheros, permisos … parece que funciona bien.

13

Esta restauración merece la pena hacerla restaurando el vmdk, porque si tienes 2 discos mas de 200 gb con datos sin infectar, la restauración del servidor entero puede eterna.

Saludos y Gracias

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.