logo SOS Ransomware
Kontakt 24/7

VHDX-Datei von Ransomware infiziert: Symptome, Auswirkungen und Wiederherstellung

1️⃣ Kontext

VHDX-Dateien sind virtuelle Festplatten, die von Hyper-V verwendet werden und häufig vollständige Betriebssysteme oder unternehmenskritische Daten enthalten. Wenn ein Ransomware-Angriff das Hostsystem oder die VHDX-Datei selbst infiziert, kann er den gesamten Inhalt der virtuellen Festplatte verschlüsseln, wodurch alle Dateien, Anwendungen und virtuellen Systeme unzugänglich werden.

2️⃣ Symptome einer statisch oder dynamisch verschlüsselten VHDX

Die typischen Anzeichen einer kompromittierten VHDX-Datei umfassen:
  1. Unzugänglichkeit der virtuellen Festplatte:
    • Die Datei kann in Hyper-V nicht eingehängt werden.
    • Fehlermeldung: „Die virtuelle Festplatte ist beschädigt oder unlesbar“.
  2. Änderung der Dateierweiterung oder des Dateinamens:
    • Einige Ransomware-Varianten benennen die Datei um oder fügen Erweiterungen wie .locked, .anubis, .crypt hinzu.
  3. Vergrößerung oder Verkleinerung der Dateigröße:
    • Nach der Verschlüsselung kann sich die Größe aufgrund des Verschlüsselungsprozesses leicht ändern.
  4. Vorhandensein einer Lösegeldforderung:
    • Notizen wie README.txt oder RESTORE_FILES.html im Verzeichnis, das die VHDX enthält.
  5. Einfrieren des Gastsystems:
    • Selbst wenn Hyper-V versucht, die Festplatte einzubinden, sind die internen Dateien unlesbar oder beschädigt.

3️⃣ Auswirkungen auf die Datenwiederherstellung

Die Wiederherstellung von Daten aus einer verschlüsselten VHDX hängt von mehreren Faktoren ab:

3.1 Art der Ransomware

  • Wenn die Ransomware eine starke asymmetrische Verschlüsselung (AES, RSA oder ECIES) verwendet, ist eine Entschlüsselung möglich, erfordert jedoch Fachwissen.
  • Einige Ransomware-Varianten enthalten einen Wiper, der den Inhalt der virtuellen Festplatte überschreibt und somit eine klassische Wiederherstellung unmöglich macht.

3.2 Integrität der VHDX-Datei

  • Wenn die VHDX-Datei verändert oder abgeschnitten wurde, kann die virtuelle Festplatte beschädigt werden.
  • Hyper-V kann die Festplatte oder die Partitionen eventuell nicht mehr erkennen.

3.3 Verfügbare Backups

  • Isolierte Backups (offline, Band, unveränderbarer Snapshot) können eine schnelle Wiederherstellung ermöglichen.
  • VHDX-Dateien, die auf einem NAS oder einem Netzwerkserver gespeichert sind, können ebenfalls verschlüsselt worden sein, wenn die Ransomware Zugriff auf das Netzwerk hatte.

3.4 Technische Komplexität

  • VHDX-Dateien enthalten häufig NTFS- oder ReFS-Dateisysteme, die eine Rekonstruktion des Dateisystems erfordern, bevor auf die Daten zugegriffen werden kann.
  • Standard-Tools zur Datei­wiederherstellung reichen in der Regel nicht aus.

4️⃣ Werkzeuge und Methoden

  1. Wiederherstellung aus Backups
    • Veeam, Hyper-V Backup, Synology Hyper Backup, LTO-Bänder.
  2. Manuelle Rekonstruktion des Dateisystems
    • Spezialisierte Software (ScanX, R-Studio, Wondershare) für BTRFS, ReFS, NTFS.
  3. Entschlüsselung
    • Abhängig von der eingesetzten Ransomware.
  4. Selektive Extraktion
Bei einigen teilweise verschlüsselten VHDX-Dateien können nur bestimmte Dateien wiederhergestellt werden.

5️⃣ Gute Praktiken nach einer VHDX-Ransomware-Infektion

    • Den VHDX nicht eigenständig öffnen oder reparieren, um eine Verschlimmerung der Beschädigung zu vermeiden.
    • Die VHDX-Datei isolieren und auf einem sicheren, vom Netzwerk getrennten Speicher ablegen.
 
Einen Spezialisten für Datenwiederherstellung nach Ransomware hinzuziehen.