Problemón recuperación de datos

Question

Problemón recuperación de datos

serfeel 04 nov 2018 10:26

Adicto

490 mensajes
desde oct 2008
en Madrid/Las Palmas

Os expongo mi caso, el Viernes entró un crypto y jodió el server de una de las dependencias. La primera persona que fue hizo una recuperación de sistema de meses atrás, la cuál no llegó a arrancar. Dije que pararan todo, dado que hay datos muy sensibles en otro disco. La máquina es un server 2012R2 2discos en raid1 para sistema y otros dos en raid 1 para datos. El caso es que lo importante es datos, ¿hay posibilidad de acceder a las versiones anteriores sin depender de c?
Tengo una imagen en vhdx donde justo el disco de datos al montarse da como raw. Un nas que guardaba copias de seguridad fue borrado durante el ataque, yo llegué a ver la copia de seguridad y al rato la borraron. Si a alguien se le ocurre algo, sería muy de agradecer, o incluso contratar algún servicio para todo esto.

6 respuestas

Answer 1 · 2018-11-04T13:13:34+00:00

Madre mía. ¿Borro hasta las copias de seguridad?

Vamos por partes. ¿Aquí lo importante es recuperar la unidad de datos, verdad?

Entonces comentas que esa partición estaba compuesta de dos discos duros en RAID 1 ¿También el virus crypto borro esos discos duros?

También comentas que tienes una imagen en vhdx pero al montarlo te sale en formato RAW.

Después tenias una copia de seguridad en una NAS. Pero que la borraron ¿Pero fue el virus o fue que alguien la borro?

Answer 2 · 2018-11-04T21:32:49+00:00

DeVlL escribió:Madre mía. ¿Borro hasta las copias de seguridad?

Vamos por partes. ¿Aquí lo importante es recuperar la unidad de datos, verdad?

Entonces comentas que esa partición estaba compuesta de dos discos duros en RAID 1 ¿También el virus crypto borro esos discos duros?

También comentas que tienes una imagen en vhdx pero al montarlo te sale en formato RAW.

Después tenias una copia de seguridad en una NAS. Pero que la borraron ¿Pero fue el virus o fue que alguien la borro?

Así es, unidad de datos. Ayer antes de que hicieran o cargaran la copia de seguridad, se podía restaurar versiones. Al final son dos discos en raid 1, que contiene ambas particiones, system y datos.
El virus atacó a systema y datos, jodio discos externos de back up y borró delante de mis ojos el raid5 del Nas que tenía copias actuales. Lo único que tenía hoy es una copia en 3 vhdx, partición efi, system y datos. Consigo levantar y montar todas excepto datos, ni en Windows, ni en un Linux montando el disco virtual ni desde un HV intentando recomponerla.

Answer 3 · 2018-11-05T08:24:19+00:00

Uff que putada, espero que lo soluciones compañero. Yo lo que hago para evitar esto es sacar una vez a la semana toda la información del server a un disco externo que guardo fuera de la empresa

Answer 4 · 2018-11-05T12:55:45+00:00

No entiendo como un Crypto entra en un NAS donde se almacenan los backups, o tenía la misma pass de admin que el usuario por donde entró el crypto o tenía el disco con los backups compartido con poca seguridad. En un cliente nuestro les entró un crypto pero los backups no los tocó.

Answer 5 · 2018-11-05T14:21:38+00:00

@serfeel Se puede intentar recuperar el vhdx aunque te salga en formato raw con un software professional.

Lo demás que fastidio habría que estudiar recuperar lo con hardware/software profesional de recuperación de datos.

Answer 6 · 2018-11-05T19:28:17+00:00

DeVlL escribió:@serfeel Se puede intentar recuperar el vhdx aunque te salga en formato raw con un software professional.

Lo demás que fastidio habría que estudiar recuperar lo con hardware/software profesional de recuperación de datos.

De momento es lo único que he podido conseguir, pero sin estructura de archivos y tenían unas 100.000 carpetas, así que... poco más se puede hacer. Lo demás a On Data que va.

Gracias compañero por tus respuestas.