Als die ersten Anzeichen von Instabilität am Dateiserver der Schule in den frühen Morgenstunden eines Freitags auftauchten, dachte die IT-Abteilung zunächst an einen einfachen Fehler in der VMware-Infrastruktur. Wenige Minuten später zeigten jedoch die virtuellen Maschinen merkwürdige Erweiterungen in den Dateinamen. Innerhalb weniger Stunden hatte der gesamte Campus keinen Zugriff mehr auf Prüfungen, akademische Unterlagen, Anmeldesysteme und sogar auf die Anwesenheitskontrolle der Lehrer. Es handelte sich um die Ransomware Interlock, die den auf ESXi gehosteten Dateiserver vollständig verschlüsselt hatte – und zu allem Übel auch noch die Backups, die im selben Speicherpool lagen.
Ohne einen formellen Incident-Response-Plan arbeiteten die Administratoren ununterbrochen daran, den Angriffsvektor zu identifizieren und wenigstens einen intakten Snapshot zu retten. Inmitten dieses Wettlaufs gegen die Zeit nahm die Schulleitung Kontakt zu Digital Recovery auf. Ihre Anfrage war klar: Sie wollten die wesentlichen Inhalte der virtuellen Maschinen wiederherstellen. Um das Projekt erfolgreich umzusetzen, richteten wir einen 24/7-Kommunikationskanal ein – inklusive Bereitschaftsdiensten am Wochenende und nächtlichen Besprechungen, um jeden Fortschritt eng mit dem IT-Koordinator und dem Schulleiter abzustimmen.
Bereits bei den ersten Fernanalysen stellten wir fest, dass Interlock sämtliche Logs entfernt und die Backup-Strukturen überschrieben hatte, was traditionelle Wiederherstellungsversuche unmöglich machte. Daher konzentrierten wir uns auf Block-Level-Scanning-Techniken, um gültige Fragmente direkt aus den ESXi-Datastores zu extrahieren. Die Zuversicht des Kunden geriet zwischenzeitlich ins Wanken, als andere Anbieter Wunderlösungen versprachen. Wir bewahrten jedoch Ruhe, präsentierten technische Vergleiche und zeigten, wie unsere Rebuilding-Algorithmen Metadaten des Dateisystems bewahrten, die auf den ersten Blick verloren schienen. Diese Transparenz war ausschlaggebend, um die Partnerschaft zu festigen.
Im Verlauf von drei Wochen gruppierte unser Team die VMDK-Volumes neu und rekonstruierte dabei die Ordner jeder Klasse, Unterrichtsmaterialien und die akademischen Unterlagen — Daten, ohne die das Semester gefährdet gewesen wäre. Jeder Schritt wurde durch Integritätshashes validiert, die in Echtzeit mit dem leitenden Administrator der Schule geteilt wurden. Obwohl sich der Prozess noch in der abschließenden Konsolidierungsphase befindet, konnten die kritischen Dateien bereits zurückgegeben werden, sodass der Unterricht nach dem regulären Zeitplan fortgesetzt werden konnte und die Schüler keine Fristen für die Universitätsbewerbungen verpassten.
Dieser Fall verdeutlicht die Schwachstelle virtualisierter Umgebungen, in denen Produktion und Backup auf denselben Datenträgern gespeichert werden. Er zeigt jedoch auch, wie eine engagierte Betreuung und spezifische VMware-Lösungen Szenarien wenden können, die zunächst als hoffnungslos erscheinen. Die Schule überarbeitet heute ihre Strategie für Offline-Backups und entwickelt mit unserer beratenden Unterstützung einen robusten Incident-Response-Plan, entschlossen, keine weiteren schlaflosen Nächte wegen eines Ransomware-Angriffs zu erleben.
Wir können in allen Fällen von Ransomware-Angriffen helfen; sprechen Sie mit unseren Spezialisten.
