De laptop van een enkele gebruiker bij een groot farmaceutisch bedrijf was geïnfecteerd met CryptoLocker-ransomware. Deze malware versleutelt de bestanden van de gebruiker en houdt de coderingssleutel achter totdat je het losgeld hebt betaald. De laptop was verbonden met het bedrijfsnetwerk waardoor de malware een CIFS-volume kon infecteren dat was ingesteld als een file share op een NetApp FAS. De malware kon de file share infiltreren en de meeste bestanden versleutelen. Het IT-team werd pas op de hoogte gebracht van de infectie nadat de bewaartermijn van de back-up was verstreken, wat betekent dat de back-up alleen gecodeerde gegevens bevatte. De totale impact resulteerde in ontoegankelijke gegevens op:
Om het herstel uit te voeren, moest het aggregaat offline worden gehaald, wat in totaal 17 volumes betrof.
De klant bracht zijn 46 schijven naar ons laboratorium in New Jersey voor evaluatie en de ingenieurs van Ontrack gingen aan de slag met een oplossing. Wat we hebben gedaan:
Een extra uitdaging bij dit herstel was dat het aggregaat twee weken in gebruik was nadat het incident zich had voorgedaan, waardoor sommige gegevens werden overschreven.