Hola, muy buenas tardes.
Soy Ingeniero de Seguridad en una empresa dedicada a la ciberseguridad, y nos ha llegado un cliente víctima de un ransomware en su empresa, cuyos ficheros han sido cifrados con una extensión .lockbit. Se ha optado por restablecer los equipos mediante unas copias de seguridad antiguas hechas con Veeam Backup, las cuales el cliente no tiene las claves de descifrado, por lo que se tuvo que descartar esa opción también.
Sin embargo, nos ha dejado la copia de seguridad de 2.8TB y nos ha pedido el favor de que intentemos extraer lo que podamos de allí.
Estoy abriendo el fichero *.vbk con un editor hexadecimal (HxD) y estoy recorriendo byte a byte buscando tanto la cabecera como la cola de ficheros del tipo Office y reconstruyéndolos a mano. Sin obtener ningún resultado hasta el momento.
Mi duda es la siguiente:
Alguien podría decirme si existe alguna metodología o método que pueda seguir para ubicar y reconstruir estos ficheros? O simplemente es perder el tiempo intentar recuperar algo de allí?
Saludos, y muchas gracias de antemano!