Extrayendo ficheros office de una copia backup - Veeam Backup [AYUDA!]

Iniciado por bulkdark, 24 Septiembre 2021, 14:05 PM

0 Miembros y 1 Visitante están viendo este tema.

bulkdark

Hola, muy buenas tardes.

Soy Ingeniero de Seguridad en una empresa dedicada a la ciberseguridad, y nos ha llegado un cliente víctima de un ransomware en su empresa, cuyos ficheros han sido cifrados con una extensión .lockbit. Se ha optado por restablecer los equipos mediante unas copias de seguridad antiguas hechas con Veeam Backup, las cuales el cliente no tiene las claves de descifrado, por lo que se tuvo que descartar esa opción también.

Sin embargo, nos ha dejado la copia de seguridad de 2.8TB y nos ha pedido el favor de que intentemos extraer lo que podamos de allí.

Estoy abriendo el fichero *.vbk con un editor hexadecimal (HxD) y estoy recorriendo byte a byte buscando tanto la cabecera como la cola de ficheros del tipo Office y reconstruyéndolos a mano. Sin obtener ningún resultado hasta el momento.

Mi duda es la siguiente:

Alguien podría decirme si existe alguna metodología o método que pueda seguir para ubicar y reconstruir estos ficheros? O simplemente es perder el tiempo intentar recuperar algo de allí?

Saludos, y muchas gracias de antemano!

EdePC

Si el archivo tiene contraseña lo más probable es que sea una contraseña de cifrado por lo que nunca encontrarás sentido a la Data aún con un editor hexadecimal porque sería igual a recuperar la información de los .lockbit, sin contraseña no se puede.

Tendrías que revisar este par de temas que justo hablan de tu problema:

https://helpcenter.veeam.com/docs/backup/vsphere/decrypt_without_pass.html?ver=110
https://helpcenter.veeam.com/docs/backup/em/em_pwd_recovery_request.html?ver=110