Der Kunde
Ein
Ransomware-Angriff mit dem "Locky"-Virus hatte schwerwiegende Auswirkungen für ein großes deutsches Krankenhaus.
Die Situation
Viele Server des Krankenhauses wurden durch den Virus lahmgelegt, was den Betrieb einschränkte. Nicht infizierte Server wurden während der Panik betroffen, als ihre Stromzufuhr unterbrochen wurde, während sie noch in Betrieb waren. In hochkomplexen virtualisierten Speichersystemen kann ein unsachgemäßes Abschalten der Stromversorgung zu unerwarteten Problemen führen. Dies war bei einem Dell EqualLogic PS6500ES-Speicher-Array mit insgesamt 148 professionellen 100-Gigabyte-Festplatten der Fall. Nachdem die IT-Mitarbeiter des Krankenhauses und der technische Support von Dell das Problem nicht lösen konnten, wurden die Spezialisten von Ontrack zu Hilfe gerufen. Alle Laufwerke wurden an das Datenrettungslabor in Deutschland geliefert, wo sie begutachtet wurden.
Das Dell EqualLogic PS6500ES-System enthält in der Regel mehrere Festplatten, die auf 16 oder 48 Festplatteneinschüben angeordnet und zu RAID-5- oder RAID-50-Systemen (Sub-Arrays) zusammengeschlossen sind. Diese Sub-Arrays sind wiederum mit anderen verbunden, wobei ein oder mehrere zu logischen Einheiten, also einer jeweiligen Gruppe gehören. Diese werden mit Hilfe einer MAP (Datenbank) "verkettet" und runter je nach LUN auf die verschiedenen Sub-Arrays verteilt, wenn sie verhältnismäßig groß sind. In diesem Fall stellten unsere Spezialisten fest, dass von den sieben Shelves mit 148 Festplatten drei Shelves mit 80 Festplatten die LUN mit den benötigten Oracle-Datenbanken enthielten. Allerdings waren viele der Links (Mappings) der Datenfragmente (die über alle Festplatten verteilt waren) entweder beschädigt oder nicht mehr verfügbar, so dass sich die Anordnung der Fragmente als sehr schwierig erwies. Das Mapping eines EqualLogic PS-Systems ist zudem in einer spezifischen Logik kodiert, so dass auch hier die Links nicht einfach zu finden sind.
Die Lösung
Um die Verknüpfungen wieder herzustellen, entwickelten die Software Entwicker von Ontrack neue Software-Tools, um speziell die Logik- und Korruptionsprobleme in Bezug auf das RAID und die LUN-Adressierung zu lösen..
Mit Hilfe der neuen Tools waren die Ingenieure in der Lage, die RAID 5- und RAID 50-Systeme neu zu erstellen sowie die LUN darzustellen. Innerhalb dieser LUN befand sich eine virtuelle Festplatte (eine VMDK-Datei), in der ein NTFS-Dateisystem mit zwei Oracle-Datenbanken versteckt war. Zwei Dateiebenen mussten innerhalb des LUNs identifiziert und wiederhergestellt werden, bevor diese Datenbanken endgültig exportiert werden konnten.
Das Ergebnis
Das Team von Datenrettungstechnikern aus mehreren Ontrack-Niederlassungen konnte schließlich die benötigten Datenbanken erfolgreich extrahieren und wiederherstellen und die Daten per Kurier an den Kunden senden.
Das Krankenhaus war sehr zufrieden mit der Vermittlungsunterstützung von Dell an Ontrack und der Tatsache, dass sie endlich alle ihre wichtigen Daten wieder zur Verfügung hatten. Darüber hinaus können die für dieses Projekt entwickelten Tools bei kommenden Datenwiederherstellungsfällen von Dell EqualLogic PS Array-Systemen erneut eingesetzt werden, wodurch sich zukünftige Datenwiederherstellungszeiten deutlich reduzieren lassen.
Wenden Sie sich an Ihren Ontrack-Ansprechpartner, um zu erfahren, wie wir Sie bei einem Ransomware-Vorfall unterstützen können
Weitere Informationen zu Ontrack Ransomware Recovery, Datenrettung virtueller Maschinen, NAS Recovery & SAN Recovery, Server Wiederherstellung und Datenbank Datenrettung.
[20-2]
Deutschland | Deutsch
Standorte
Suche
Zurück zur auflistung
