Case ID #4364: Recupero dati da Nastri, File zip danneggiati

Otto nastri Ultrium LTO3 da 400/800 GB, parzialmente accessibili, con archiviati set di backup di BackupAssist effettuati da un server DELL con Windows Server 2012.

Supporti ricevuti

Data di arrivo: 14 agosto 2018, No. 2 nastri HP LTO3 Mod. C7973A;
Data di arrivo: 21 agosto 2018, No. 6 nastri HP LTO3 Mod. C7973A.

Informazioni e richieste comunicate dal cliente

I dati condivisi presenti sul server sono stati cifrati da un cryptovirus per cui è stato necessario effettuare il ripristino delle copie da supporti RDX, introdotti recentemente per il backup, sui quali però è risultata essere mancante una buona parte dei file in quanto, nel configurare il backup, non è stata inclusa una cartella.

Il ripristino dei dati da RDX è risultato quindi essere solo parziale, mancando quella particolare cartella che è invece presente nei nastri utilizzati in precedenza, quando il backup era effettuato con un’unità HP Ultrium LTO3 (guastatasi successivamente).

Il backup su nastro è stato effettuato da un server DELL con sistema operativo Windows Server 2012 Standard e il software utilizzato è BackupAssist versione 9.5.5; I set di backup di BackupAssist sono in formato ZIP e protetti da una password (che è stata comunicata dal cliente).

I tentativi di ripristino dei dati dai nastri, effettuati dal cliente con l’ausilio un’altra unità LTO3 funzionante, hanno purtroppo evidenziato sia difficoltà nella lettura, sia la presenza di set di backup incompleti.

Un’altra azienda di recupero dati, precedentemente contattata dal cliente, dopo aver esaminato due nastri a loro inviati, ha dichiarato di non avere al momento sviluppato nessun tool specifico per il recupero dei dati nel formato di archiviazione di BackupAssist.

È fondamentale recuperare dal backup su nastro la cartella “\gr*(omissis), contenente oltre 200 mila file distribuiti su una struttura di svariate centinaia di cartelle e sottocartelle. Le altre cartelle presenti non sono richieste in quanto già recuperate dai set di backup aggiornati presenti sui supporti RDX.

Sistema operativo: Windows Server 2012 Standard;
Software di backup: BackupAssist versione 9.5.5;
Formato backup: File ZIP;
Cartelle da recuperare: “\gr*(omissis)”, le altre cartelle non interessano;
Stima contenuto singolo nastro: oltre 300 mila file, circa 350 GB;
Stima dei file da recuperare: oltre 200 mila file, indicativamente circa 150 GB.
Altri vincoli: Recuperare il nastro con il set di backup più recente.

Allegati: Nessuno.

La diagnosi

Nastro 1:
Risulta essere gravemente danneggiato ed accessibile solo per i primi 10GB;

Nastro 2:
Risultato in parte danneggiato, con marcatori di fine nastro a circa 160GB;

Nastro 3:
Accessibile, con marcatori di fine nastro a 150GB;

Nastro 4:
Anch’esso accessibile, con marcatori di fine nastro a circa 210GB;

Nastri 5, 6, 7 ed 8:
Risulti essere accessibili, ma con marcatori di fine nastro posizionati a circa 160-180GB, inoltre le date dei backup sono anteriori alla data del backup del nastro No. 2;

L’esame dei nastri ha evidenziato problemi di lettura, in particolar modo per i nastri No. 1, 2, 6 ed 8. Il nastro No. 1 è gravemente danneggiato e praticamente inutilizzabile, i nastri 6 ed 8 hanno manifestato difficoltà nella lettura delle intestazioni e nel posizionamento a fine nastro, mentre minori problemi hanno interessato gli altri supporti.

Il nastro No. 2 è risultato contenere il set di backup più recente ma di minore dimensione (160GB) rispetto al set di backup presente sul nastro 4, che è precedente di un mese ma è più completo (210 GB).

Esito della diagnosi

L’analisi delle informazioni presenti nelle intestazioni dei set di backup memorizzati sui nastri ha consentito di determinare quelli che offrono le migliori possibilità di recupero, sia in termini di qualità che di quantità dei dati, ovvero i nastri 2 e 4.

Su questa base è stato possibile formulare un preventivo di spesa per il recupero dei dati, sottoposto quindi al cliente e dallo stesso accettato.

Le operazioni di recupero dei dati

Le operazioni di recupero sono state avviate effettuando la lettura binaria integrale dei supporti, dapprima per i nastri Nn. 2 e 4 e successivamente di tutti gli altri. La lettura binaria del contenuto del nastro No. 2 ha confermato l’entità di 160GB circa, così come per il nastro No. 4 che è risultato contenere un set di backup incompleto con dimensione di circa 210GB. Sul nastro No. 2 sono stati rilevati blocchi di dati con errori di lettura, blocchi di dati successivamente corretti con successo in fase di rilettura dalle nostre procedure di recupero dei nastri magnetici.

Il contenuto binario, corrispondente ad un file in formato Zip per ogni nastro, è stato analizzato ed è risultato essere troncato e non pienamente conforme allo standard ZIP. Errori ed incongruenze, non risolvibili da software commerciali di lettura/riparazione del formato zip, hanno richiesto la scrittura di un software (per un totale di oltre 6.000 linee di codice sorgente) appositamente predisposto per ovviare a tali errori e consentire l’estrazione dei file compressi contenuti.

Vari test man mano effettuati hanno consentito, adattando di conseguenza il software da noi creato, di risolvere tutti i problemi presenti nei file zip dei due set di backup e di estrarre i file ivi archiviati, risultati integri ed utilizzabili, mantenendo i nomi, percorsi e date originali, sia dei file che delle cartelle.

I file dei due set di backup recuperati, in totale oltre 540 mila file per circa 370GB, sono stati copiati su un nuovo disco USB cifrato con Microsoft BitLocker e spedito al cliente in data 30 agosto.

Conclusioni

L’approccio di TheRecovery al problema, grazie alle procedure software prontamente sviluppate ha consentito prima un’analisi accurata di tutte le anomalie presenti nei set di backup e quindi successivamente, con opportuni e specifici algoritmi per la correzione degli errori riscontrati nel formato del file ZIP, ha permesso al cliente di ripristinare i file della cartella richiesta e ridare piena operatività ai propri addetti, senza dover sottostare alla richiesta estorsiva da parte degli autori del cryptovirus, opzione considerata a priori dal cliente sia economicamente che eticamente inaccettabile.

Nel rivolgersi a TheRecovery per il recupero dei propri dati, il cliente ha sempre avuto la garanzia, condizione normale dei nostri preventivi, di non dover pagare nulla in caso di esito negativo dell’operazione: nessun importo sarebbe stato a noi dovuto qualora i file ripristinati fossero risultati essere inutilizzabili.

Parole chiave recupero dati

Nastri Ultrium LTO LTO3 BackupAssist File ZIP
Recupero dati nastri Recupero dati ZIP Recupero Backup
Server DELL
HP CryptoLocker File cifrati Hacker