Technologie von NetApp unterstützt bei Datenrettung nach Ransomware-Angriff

Written By: Ontrack

Date Published: Februar 20, 2020

Technologie von NetApp unterstützt bei Datenrettung nach Ransomware-Angriff

Der Kunde

Der Laptop eines einzelnen Benutzers in einem großen Pharmaunternehmen wurde mit der Ransomware CryptoLocker infiziert.

Die Herausforderung

Diese Malware verschlüsselt die Dateien des Benutzers, die Hacker behalten aber die wichtigen Keys zur Entschlüsselung, bis das Lösegeld bezahlt wird. Der Laptop war mit dem Firmennetzwerk verbunden, wodurch die Malware ein CIFS-Volume infizieren konnte, das als Dateifreigabe auf einer NetApp FAS eingerichtet war. Die Malware war in der Lage, die Dateifreigabe zu infiltrieren und die meisten Dateien zu verschlüsseln. Das IT-Team wurde erst nach Ablauf der Backup-Aufbewahrungsfrist über die Infektion informiert, was bedeutet, dass selbst das Backup nur verschlüsselte Daten enthielt. Der Schaden war immens.

Nach der intensiven Beratung mit den Ontrack Service Beratern war schnell klar:

Das gesamte Aggregat enthielt nicht nur ein infiziertes Volume, sondern 17 Volumes mussten offline genommen werden.

Die Lösung

Der Kunde brachte seine 46 Laufwerke zur Analyse in unser Labor in New Jersey und die Ingenieure von Ontrack machten sich an die Arbeit, um eine Lösung zu finden.

Das Expertenteam von Ontrack simulierten virtuell:

  • die RAID-Gruppen, die über 10 verschiedene Speicher-Shelfs verstreut waren

  • das RAID-DP

  • dann das gesamte Aggregat

  • und einen virtuellen Rebuild des infizierten Volumes

Eine zusätzliche Herausforderung bei dieser Wiederherstellung bestand darin, dass das Aggregat nach dem Vorfall zwei Wochen lang in Betrieb war, was dazu führte, dass einige Daten bereits überschrieben worden waren.

Das Ergebnis

Ontrack war in der Lage, das Volume mit der CIFS-Freigabe und den verschlüsselten Daten virtuell wiederherzustellen.

Durch den Einsatz von NetApps proprietärem Betriebssystem (OnTap) und dem Dateisystem (WAFL) nutzten die Techniker von Ontrack mehrere Check-Points, um quasi in der Zeit "zurückzugehen" und unverschlüsselte Kopien der kritischen Daten zu finden und zusammenzuführen, um sie dem Kunden zurückzugeben. Diese Art der Wiederherstellung ist aufgrund der Art und Weise, wie die Daten auf den WAFL-Volumes gespeichert werden, nur auf Storage wie dem FAS von NetApp möglich.

 

Wenden Sie sich an Ihr Ontrack-Datenrettungsteam, um zu erfahren, wie wir Sie bei der Wiederherstellung von Daten nach dem Ausfall Ihres Enterprise NAS oder SAN Storage aber insbesondere nach einem Ransomware Incident unterstützen können.

Weitere Informationen zum Thema finden Sie unter

Abonnieren

KLDiscovery Ontrack GmbH, Hanns-Klemm-Straße 5, 71034 Böblingen, Deutschland (Alle standorte anzeigen)