logo SOS Ransomware
Kontakt 24/7
Veeam-Backups

Durch Ransomware verschlüsselter Veeam Backup File Share: der Bericht einer erfolgreichen Datenwiederherstellung

Dieser reale Fall zeigt, wie ein hochentwickelter Angriff selbst die robustesten Schutzmechanismen umgehen kann – aber auch, wie eine fachkundige Intervention die Wiederherstellung eines Großteils der Daten ermöglichen kann. Hier ist der Bericht über dieses Rennen gegen die Zeit.

Rufen Sie uns an: (+33) 1 84 60 41 12
DeInterventionsanfrage

Stellen Sie sich vor: Es ist Freitagabend, 22 Uhr, und ein in Seoul ansässiges Unternehmen, führend im Bereich Human Resources, stellt mit Entsetzen fest, dass sämtliche kritischen Dateien durch einen Ransomware-Angriff verschlüsselt wurden. Diese Daten, die auf einem zentralisierten NAS gespeichert sind, sind für die Produktionsteams und die administrativen Abteilungen von entscheidender Bedeutung. Darunter befinden sich auch Veeam-NAS-Backupdateien, die eigentlich dazu gedacht waren, das Unternehmen vor genau dieser Art von Angriff zu schützen. Dennoch gelang es den Cyberkriminellen, sich als Administrator Zugriff auf das NAS zu verschaffen und nicht nur die Geschäftsdaten, sondern auch die Backups selbst zu verschlüsseln.

Kontext: Eine kritische Infrastruktur unter Angriff

Ein zentralisiertes NAS als Herzstück der Geschäftstätigkeit

Der Speicher des Unternehmens basiert auf einem NAS (Network Attached Storage), das mehr als 2 TB an Daten zentralisiert, also über 650.000 Dateien. Dieses Speichersystem dient sowohl den täglichen Betriebsabläufen als auch der strategischen Archivierung. Zur Absicherung dieser Daten hatte das Unternehmen Veeam NAS Backup implementiert – eine Lösung, die für ihre Fähigkeit bekannt ist, Millionen von Dateien ohne Leistungseinbußen zu verwalten und dank eines Versionierungssystems Schutz vor versehentlichem Löschen und Ransomware-Angriffen bietet.
Veeam NAS Backup ist für NFS- und SMB-Freigaben optimiert und bietet eine feingranulare Wiederherstellung von Dateien. Doch selbst die besten Lösungen haben ihre Grenzen: Erlangt ein Angreifer Administratorrechte auf dem NAS, kann er sämtliche Daten verschlüsseln – einschließlich der Backups.
Der Angriff: Freitag, der 15. August 2025, um 22 Uhr
Genau das ist passiert. Die Cyberkriminellen nutzten eine Sicherheitslücke aus, um sich mit Administratorrechten Zugriff auf das NAS zu verschaffen. Das Ergebnis: Sämtliche Dateien, einschließlich der Veeam-Backups, wurden verschlüsselt. Die für das Funktionieren der Veeam-Sicherungen essenziellen Erweiterungen .vblob, .vindex und .vslice wurden umbenannt und unlesbar gemacht.
veeam backup ransomware
Beispiel einer durch Ransomware verschlüsselten Veeam-Share-Datei
  • Kein Zugriff auf die Daten: Die Dateien sind verschlüsselt und ihre Namen wurden verändert.
  • Operative Dringlichkeit: Jede Stunde der Nichtverfügbarkeit gefährdet die Geschäftskontinuität.
  • Zweifel an der Wiederherstellung: Die Backups selbst sind beschädigt.

Die Herausforderung: Verschlüsselte Backups wiederherstellen

Die Architektur der Veeam-NAS-Backups verstehen

Bevor gehandelt werden kann, ist es entscheidend, die Struktur der Veeam NAS Backup-Dateien zu verstehen:
  • .vblob: Diese Dateien enthalten die Rohdaten aus den Backups der NAS-Freigabe.
  • .vindex: Dabei handelt es sich um binäre Metadaten, die die Namen und Versionen der gesicherten Dateien beschreiben.
  • .vslice: Diese Dateien beschreiben die Datenzuordnung innerhalb der .vblob.
Ohne diese Metadaten ist eine Wiederherstellung nahezu unmöglich. Dennoch entscheiden sich die technischen Teams von Recoveo (unserem Unternehmen), die Herausforderung anzunehmen.

Ein zweigleisiger Ansatz

Um die Erfolgschancen zu maximieren, werden zwei Teams mobilisiert:
  1. Das „Verzeichnisstruktur“-Team: zuständig für die Rekonstruktion der Ordner- und Dateistruktur.

Die Lösung: eine maßgeschneiderte technische Intervention

Schritt 1: Analyse der Dateistruktur

Der erste Schritt besteht in einer tiefgehenden Analyse der Struktur der verschlüsselten Dateien. Mithilfe von hexadezimalen Analysewerkzeugen und Reverse Engineering identifizieren die Ingenieure wiederkehrende Muster in den Dateien .vblob, .vindex und .vslice. Diese Analyse ermöglicht es, nachzuvollziehen, wie die Daten vor der Verschlüsselung organisiert waren. Die Dateien .vindex enthalten spezifische Header, die nach der Dekodierung Informationen über Dateinamen und deren Hierarchie offenlegen.
veeam backup ransomware2
Unser Analysewerkzeug in Aktion während unserer Untersuchungen

Schritt 2: Entwicklung eines proprietären Extraktionstools

Angesichts des Fehlens einer schlüsselfertigen Lösung entwickeln die Ingenieure ein maßgeschneidertes Tool, das in der Lage ist:
  • Metadaten zu parsen: Informationen aus den Dateien .vindex und .vslice trotz deren Verschlüsselung zu extrahieren.
  • Die Verzeichnisstruktur zu rekonstruieren: die ursprüngliche Ordnerstruktur wiederherzustellen.
  • Rohdaten zu extrahieren: den Inhalt der .vblob-Dateien wiederherzustellen und mit ihren ursprünglichen Namen zu verknüpfen.
veeam nas backup
Benutzeroberfläche unseres Extraktionstools während des laufenden Extraktionsprozesses

Schritt 3: Wiederherstellungstests

Bevor eine umfangreiche Extraktion gestartet wird, werden Tests an kritischen Dateien (Verträge, HR-Datenbanken, Verwaltungsdokumente) durchgeführt. Diese Tests überprüfen:
  • Datenintegrität: Die wiederhergestellten Dateien werden geprüft.
  • Kohärenz der Verzeichnisstruktur: Ordner und Unterordner werden korrekt rekonstruiert. Der Kunde stellte uns eine vollständige Liste seiner Verzeichnisstruktur zur Verfügung, die einen Vergleich mit unserem Ergebnis ermöglicht.

Schritt 4: Extraktion und Validierung

Sobald das Tool finalisiert ist, wird die Extraktion gestartet. Die Dateien werden in Batches wiederhergestellt, mit einer systematischen Überprüfung ihrer Integrität. Eine detaillierte Liste der wiederhergestellten Dateien wird erstellt, damit das Unternehmen die Vollständigkeit der Daten validieren kann.

Ergebnis: 93 % der Daten in weniger als einer Woche wiederhergestellt

Ein Erfolg über alle Erwartungen hinaus

Entgegen den ursprünglichen Prognosen konnten 93 % der Daten aus dem Veeam NAS Backup wiederhergestellt werden. Diese außergewöhnliche Quote lässt sich erklären durch:
  • Die Robustheit des entwickelten Tools: Es war in der Lage, die Verschlüsselung der Metadaten zu umgehen.
  • Die Redundanz der Informationen: Die .vblob-Dateien enthielten ausreichend Redundanz, um einen Großteil der Daten zu rekonstruieren.
  • Die Expertise der Teams: Die Kombination aus Know-how in Cybersicherheit, Entwicklung und Datenmanagement war entscheidend.

Kundenstimme

„Mit Recoveo haben wir eine Lösung gefunden, um unsere Daten aus dem Veeam NAS Backup wiederherzustellen. Die Wiederherstellung ist nahezu vollständig, und wir konnten unsere Tätigkeit in weniger als einer Woche wieder aufnehmen. Dieser Einsatz hat jahrelange Arbeit gerettet und eine schwere Krise für unser Unternehmen verhindert.“ — Yu-jun Chung, IT-Experte

Lehren aus dieser Krise

Die Bedeutung eines erfahrenen Partners

Im Falle eines Ransomware-Angriffs zählt jede Minute. Die Beauftragung von Experten für Datenwiederherstellung kann den Unterschied zwischen einer schnellen Wiederaufnahme des Geschäftsbetriebs und einem irreversiblen Datenverlust ausmachen.

Fazit: Ein Sieg gegen Ransomware

Diese Geschichte zeigt, dass ein Ransomware-Angriff – selbst wenn er verheerend ist – nicht zwangsläufig ein unabwendbares Schicksal darstellt. Dank einer tiefgehenden technischen Analyse, eines maßgeschneiderten Tools und einer engen Zusammenarbeit mit dem Kunden ist es möglich, einen großen Teil der Daten wiederherzustellen. Wenn Ihr Unternehmen mit einer ähnlichen Situation konfrontiert ist, zögern Sie nicht, uns zu kontaktieren. Unsere Teams sind bereit, Sie dabei zu unterstützen, die Auswirkungen zu minimieren und Ihre kritischen Daten wiederherzustellen.