Die Situation
Ein Ransomware-Angriff mit dem "Locky"-Virus hatte schwerwiegende Auswirkungen für ein großes deutsches Krankenhaus.
Viele Server des Krankenhauses wurden durch den Virus lahmgelegt, wodurch der Betrieb eingeschränkt wurde. Nicht infizierte Server wurden während der Panik in Mitleidenschaft gezogen, als ihre Stromzufuhr unterbrochen wurde, während sie noch in Betrieb waren. Bei hochkomplexen virtualisierten Speichersystemen kann eine unsachgemäße Stromabschaltung zu unerwarteten Problemen führen. Dies war der Fall bei einem Dell EqualLogic PS6500ES Speicher-Array mit insgesamt 148 professionellen 100-Gigabyte-Festplatten. Nachdem die IT-Mitarbeiter des Krankenhauses und der technische Support von Dell das Problem nicht lösen konnten, wurden die Spezialisten von Ontrack zu Hilfe gerufen. Alle Laufwerke wurden an das Datenrettungslabor in Deutschland geliefert, wo der Schaden untersucht wurden.
Das Dell EqualLogic PS6500ES-System enthält in der Regel mehrere Festplatten, die auf 16 oder 48 Festplatteneinschüben angeordnet und zu RAID-5- oder RAID-50-Systemen (Sub-Arrays) zusammengeschlossen sind. Diese Sub-Arrays sind wiederum mit anderen verbunden, wobei ein oder mehrere zu logischen Einheiten, also einer jeweiligen Gruppe gehören. Diese werden mit Hilfe einer MAP (Datenbank) "verkettet" und runter je nach LUN auf die verschiedenen Sub-Arrays verteilt, wenn sie verhältnismäßig groß sind. In diesem Fall stellten unsere Spezialisten fest, dass von den sieben Shelves mit 148 Festplatten drei Shelves mit 80 Festplatten die LUN mit den benötigten Oracle-Datenbanken enthielten. Allerdings waren viele der Links (Mappings) der Datenfragmente (die über alle Festplatten verteilt waren) entweder beschädigt oder nicht mehr verfügbar, so dass sich die Anordnung der Fragmente als sehr schwierig erwies. Das Mapping eines EqualLogic PS-Systems ist zudem in einer spezifischen Logik kodiert, so dass auch hier die Links nicht einfach zu finden sind.
Die Lösung
Um die Verknüpfungen wieder herzustellen, entwickelten die Software Entwicker von Ontrack neue Software-Tools, um speziell die Logik- und Korruptionsprobleme in Bezug auf das RAID und die LUN-Adressierung zu lösen.
Mit Hilfe der neuen Tools waren die Experten in der Lage, die RAID 5- und RAID 50-Systeme neu zu erstellen sowie die benötigte LUN anzuzeigen. Innerhalb dieser LUN befand sich eine virtuelle Festplatte (eine VMDK-Datei), in der ein NTFS-Dateisystem mit zwei Oracle-Datenbanken versteckt war. Zwei Dateiebenen mussten innerhalb der LUN identifiziert und wiederhergestellt werden, bevor diese Datenbanken endgültig exportiert werden konnten.
Das Ergebnis
Das Team von Datenrettungstechnikern aus mehreren Ontrack-Niederlassungen konnte schließlich die benötigten Datenbanken erfolgreich extrahieren und wiederherstellen und die Daten per Kurier an den Kunden senden.
Das Krankenhaus war sehr zufrieden mit der Vermittlungsunterstützung von Dell an Ontrack und der Tatsache, dass sie endlich wieder alle wichtigen Daten zur Verfügung hatten. Darüber hinaus können die für dieses Projekt entwickelten Tools bei kommenden Datenwiederherstellungsfällen von Dell EqualLogic PS Array-Systemen erneut eingesetzt werden, wodurch sich die Datenwiederherstellungszeiten in Zukunft erheblich verkürzen werden.