Case Study: Datenwiederherstellung nach CryptoLocker Angriff

Dienstag, 25. August 2015 von Michael Nuncic

DST_image_970x300_hero-cloud

CryptoLocker ist eine der hinterhältigsten Schadsoftwares die derzeit im Umlauf sind. Die Malware verbreitet sich hauptsächlich über E-Mails, die vermeintlich von vertrauenswürdigen Banken abgesendet werden. Durch das Öffnen eines der E-Mail angehängten Dokuments wird der Schadcode aktiviert und CryptoLocker installiert. Dadurch werden interne und externe Speichermedien, USB-Laufwerke und sogar Network-Attached-Storages (NAS) verschlüsselt, so dass auf die Daten nicht mehr zugegriffen werden kann Das Opfer dieser Erpressung hat dann 72 Stunden Zeit das Lösegeld in Form von Bitcoins zu zahlen. Wer sich weigert zu zahlen, verliert dann seine Daten oft dauerhaft.

Dass nicht nur Privatanwender von CryptoLocker betroffen sind, die auf dubiosen Webseiten herumsurfen oder mit ihren persönlichen Daten sorglos umgehen, musste ein Mitarbeiter eines Pharmaunternehmens erfahren. In der Folge wurde nicht nur sein Laptop komplett verschlüsselt, sondern der Schadcode verseuchte auch gleichzeitig nahezu fast alle Daten der über Internet verbundenen Volumes des eingesetzten NetApp FAS Fileservers. Die Kollegen der betroffenen Abteilung konnten ebenfalls nicht mehr auf ihre Daten zugreifen und die Arbeit in der Abteilung kam dadurch komplett zum Erliegen. Erschwerend kam hinzu, dass die IT-Abteilung erst nachdem das neue Backup periodisch erstellt wurde, über die Infektion mit der CryptoLocker-Schadware informiert wurde.

RAID System mit Ransomware infiziert

Insgesamt wurden 46 physikalische Festplatten, 1 NetApp-Aggregat (mit 17 Laufwerken) und 1 RAID Double Parity Laufwerk von CryptoLocker infiziert. Das betroffene Unternehmen brachte das von Ransomware angegriffene System in das Datenrettungslabor von Ontrack in New Jersey für eine umfangreiche Analyse und zur anschließenden Datenrettung.

NetApp und Ontrack stellen mit Ransomware verschlüsselte Raid Daten wieder her

Zunächst wurden die RAID-Gruppen, die zwischen 10 unterschiedlichen Computer-Shelves, dem NetApp Aggregat und dem verseuchten Double Parity Laufwerk aufgeteilt waren, wiederaufgebaut. Bei dieser Arbeit wurde ein zusätzlicher Schaden am NetApp Aggregat entdeckt, der dadurch verursacht wurde, dass es noch zwei Wochen nach der Infektion mit CryptoLocker weiterbetrieben wurde.

Durch die Art und Weise wie das NetApp proprietäre Datensystem WAFL eingerichtet wurde, waren die Dateningenieure in der Lage quasi „zurück in der Zeit zu wandern“ und so die Daten wiederherzustellen. Dabei findet die Datenwiederherstellung bei einem NetApp System auf der Aggregat-Ebene statt. Dabei erstellt das WAFL-Dateisystem alle zehn Sekunden automatisch sogenannte Checkpoints, also Kontrollpunkte. Mehrere dieser Kontrollpunkte wurden von den Ingenieuren identifiziert und zusammengeführt, um dem Unternehmen Zugang zu unverschlüsselten Kopien der Originaldateien zu ermöglichen.

Mit Hilfe des Kroll Ontrack Datenrettungs-Knowhows kombiniert mit den zugrundeliegenden NetApp Technologien und Datenschreibverfahren war es somit möglich den Sieg über CrypoLocker zu erringen, damit den Erpressern Paroli zu bieten und wichtige geschäftskritische Daten vor einem drohenden Verlust zu retten.

Tipps für den Umgang mit Cryptolocker und anderen Malware Programmen finden Sie im Leitfaden Ransomware von Ontrack.

Ransomware Angriff am PC

Im Schadensfall bleibt noch die Frage, wer schuld ist. Und wer für den Schaden haftet. Ist der IT-Dienstleister in der Pflicht? Oder trifft es die IT-Abteilung? Oder ist der Geschäftsführer eines betroffenen Unternehmens der Schuldige? Oder gar der Mitarbeiter, über dessen Zugang der Erpresser ins Firmennetz eindringen konnte?

Wir können diese Fragen nicht klären. Aber Lehren daraus ziehen, das können wir:

  • Sowohl Unternehmen als auch Mitarbeiter und IT-Dienstleister müssen sich der großen Verantwortung bewusst sein - und sich umfassend informieren, wie man sich vor der Bedrohung schützen kann.
  • Alle aktuellen Sicherheitslösungen müssen überprüft werden.
  • Technischen Regelwerke  wie Antiviren-Programme, lokale Firewalls und Internet-Gateway-Firewalls müssen aktualisiert werden.
  • Alle Benutzer müssen umfassend informiert und für die Gefahren sensibilisiert werden.
  • Eine private Nutzung der Systeme und Netzwerke des Unternehmens sollte so gering wie möglich gehalten werden.
  • Ein Notfallplan muss erstellt und den neuen Risiken angepasst werden.

 

Ontrack Datenrettungsblog

Das sagen unsere Kunden: