We zijn geraakt door ransomware en moeten herstellen vanuit immutable backup.

Immutable backups (object-lock, Veeam hardened repository, tape) zijn alleen waardevol als je ook de restore-procedure kent en een schone landingsplek hebt. Eerst isoleren, dan herstellen, niet andersom.

Probeer dit eerst zelf

1. 1Trek de geïnfecteerde omgeving van het netwerk af, ook backup-paden. De backup-server is een primair doel voor aanvallers, dus controleer of die schoon is voordat je iets terugzet.
2. 2Bouw een schone restore-bubbel: nieuw VLAN of geïsoleerde host met verse hypervisor en OS, géén verbinding met productie-AD of internet.
3. 3Identificeer de laatste schone backup: check de modify-tijden van .vbk/.vib, vergelijk met het moment van encryptie, neem een week marge.
4. 4Restore eerst de domain controller en kerninfrastructuur, scan de restored VM's met een EDR voordat je ze ontsluit, reset alle wachtwoorden en KRBTGT (twee keer met interval).
5. 5Pas dan stap voor stap user-VM's en data terug, met een prioritering vanuit de business: wat moet morgen draaien, wat kan een week wachten.

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.