Buenas, hoy quería hacer un experimento de cara a un futuro caso real, ya que este tipo de pruebas o experimentos es mejor hacerlos en tu laboratorio y no el día que te toca empezar a probar en un entorno de producción. Por eso es mejor adelantarse a los problemas y que no te pille cagando y sin papel. En este caso quiero ver si haciendo un Restore VM Hard Disk con Quick Rollback en una supuesta infección de Cryptolocker, me restauraría los ficheros y me quitaría los ficheros encryptados.
Aquí os dejo este link donde hice otro post sobre Quick Rollback pero con la opción de Restore Entire VM
En este laboratorio quiero restaurar los datos que tengo en uno de los discos. Esta VM tiene 3 discos:
- la C:\ donde esta el sistema, un Windows Server 2003 con Navision y un par de carpetas compartidas que utilizan varios usuarios de la empresa.
- la E:\ donde se encuentran los logs de una BBDD de Navision y el Backup diario que hace el Sql de la BBDD de Navision.
- la F:\ donde están la mayoría de las carpetas compartidas que utilizan los usuarios de la empresa.
En este caso el problema es que Cryptolocker ha encriptado varias carpetas del disco F:\Datos. Cuando digo varias carpetas pueden ser varios miles de ficheros.
Hay muchas empresas que tienen auténticos monstruos de Servidores de ficheros (para otros serán pequeños), donde pueden tener un par de discos de 2 TB llenos de carpetas, subcarpetas y mas subcarpetas con unos permisos mal definidos donde normalmente al usuario que lo ha infectado abriendo el correo de endesa, iberdrola o correos España casualmente tiene permiso de control total a casi todo, aunque no sea de su departamento.
Con Veeam Backup podemos tomar varias opciones de restauración:
- File Lever Restore, restauración granular de ficheros. Esta opción puede ser un autentico dolor de cabeza, ya que te puedes encontrar con rutas demasiado largas, donde te dará error y tendrás que acortar la ruta, mapear una subcarpeta para que la ruta sea mas corta… aparte tendrás que estar todo el tiempo al tanto de que termine de restaurar una carpeta para seguir restaurando otra. La restauración granular suele ser muy muy lenta teniendo en cuenta que estas restaurando miles de ficheritos, este proceso puede llevar muchísimas horas dependiendo de la cantidad de datos. También habrá que tener en cuenta que tendrás que eliminar todos los ficheros encryptados, porque de lo contrario puede que llenes el servidor.
- Failover to Replica: esta opción es muy rápida, pero perderías todos los cambios en todos los discos desde el ultimo punto ok de la replica al restaurarla, ya que no puedes elegir que disco quieres restaurar.
- VM Hard Disk Restore con Quick Rollback: para mi esta seria la mejor opción, ya que solo restaurarías al ultimo punto de la copia el disco seleccionado, en este caso la F:. OJO! esta opción es buena y rápida y podrías tener el servidor operativo en poco tiempo dependiendo de los datos, pero si el cliente te dice que no quiere perder los Datos entre la ultima copia y la infección del Cryptolocker, tendrás que buscar otro alternativa, por ejemplo usar las instantáneas de volumen en el caso de que las tenga activadas, si no las tiene habilitadas te esperará una larga noche restaurando carpeta por carpeta. En la mayoría de los casos optan por tener el servidor operativo en el menor tiempo posible aunque pierdan unas horas de trabajo entre el ultimo Backup correcto y la infección del Cryptolocker.
Restore — VMware, comienza el asistente y seleccionamos VM Hard Disk.
Seleccionamos el servidor infectado
Escogemos un punto anterior a la infección que sepamos que esta ok.
Nos avisará que durante la restauración el servidor se apagará.
Seleccionamos el disco o vmdk infectado y abajo marcamos el check de Quick rollback.
Marcamos el check de power on VM after Restoring.
Como podéis observar el Rolling back solo lo esta haciendo del disco seleccionado.
Una vez terminado el proceso, veremos como los ficheros volverán a estar correctamente, incluso habrá eliminado el txt y el html de las indicaciones de pago.
Hago otra prueba ocultando las extensiones de ficheros para tipos de archivo conocidos.
La restauración también sera correcta.
Vuelvo a recodar que haciendo este proceso de restauración, también hará el rolling back de los ficheros que se hayan modificado y no hayan sido infectados.
Si se os ocurre alguna solución mejor la podéis decir, quizá yo no este utilizando el procedimiento adecuado.
Saludos, gracias y perdonar la parrafada.