Krankenhaus Datenbank von Ransomware gerettet

Feb 20, 2020

Die Situation

Ein Ransomware-Angriff mit dem "Locky"-Virus hatte schwerwiegende Auswirkungen für ein großes deutsches Krankenhaus.

Viele Server des Krankenhauses wurden durch den Virus lahmgelegt, was den Betrieb einschränkte. Nicht infizierte Server wurden während der Panik betroffen, als ihre Stromzufuhr unterbrochen wurde, während sie noch in Betrieb waren. In hochkomplexen virtualisierten Speichersystemen kann ein unsachgemäßes Abschalten der Stromversorgung zu unerwarteten Problemen führen. Dies war bei einem Dell EqualLogic PS6500ES-Speicher-Array mit insgesamt 148 professionellen 100-Gigabyte-Festplatten der Fall. Nachdem die IT-Mitarbeiter des Krankenhauses und der technische Support von Dell das Problem nicht lösen konnten, wurden die Spezialisten von Ontrack zu Hilfe gerufen. Alle Laufwerke wurden an das Datenrettungslabor in Deutschland geliefert, wo sie begutachtet wurden.

Das Dell EqualLogic PS6500ES-System enthält typischerweise mehrere Festplatten, die auf 16 oder 48 Festplatteneinschüben angeordnet und zu RAID-5- oder RAID-50-Systemen (Sub-Arrays) zusammengeschaltet sind. Diese Sub-Arrays wiederum sind mit "Mitgliedern" verbunden, wobei ein oder mehrere Mitglieder zu einer logischen Einheit (einer Gruppe) gehören. LUNs werden in der Gruppe erstellt und gespeichert, dann fragmentiert und über alle Mitglieder und Sub-Arrays verteilt. Sie werden von einer Map 'verfolgt', die sich ihrerseits auf die Mitglieder oder auf die verschiedenen Subarrays verteilt, wenn sie verhältnismäßig groß wird. In diesem Fall entdeckten unsere Spezialisten, dass von den sieben Shelves mit 148 Festplatten, drei Shelves mit 80 Festplatten die LUN mit den benötigten Oracle-Datenbanken enthielten. Allerdings waren viele der Links (Mappings) der Datenfragmente (die über alle Festplatten verteilt waren) entweder beschädigt oder nicht mehr verfügbar, so dass sich die Anordnung der Fragmente als sehr schwierig erwies. Auch das Mapping eines EqualLogic PS-Systems ist in einer bestimmten Logik kodiert, so dass auch hier die Verknüpfungen nicht einfach zu finden sind.

Die Lösung

Um die Verknüpfungen abzubilden, entwickelten spezialisierte Ingenieure aus anderen Ontrack-Niederlassungen neue Software-Tools, um speziell die Logik- und Korruptionsprobleme in Bezug auf das RAID und die LUN-Abbildung zu lösen.

Mit Hilfe der neuen Tools waren die Ingenieure in der Lage, die RAID 5- und RAID 50-Systeme neu zu erstellen sowie die LUN darzustellen. Innerhalb dieser LUN befand sich eine virtuelle Festplatte (eine VMDK-Datei), in der ein NTFS-Dateisystem mit zwei Oracle-Datenbanken versteckt war. Zwei Dateiebenen mussten innerhalb des LUNs identifiziert und wiederhergestellt werden, bevor diese Datenbanken endgültig exportiert werden konnten.

Das Ergebnis

Das Team von Datenrettungstechnikern aus mehreren Ontrack-Niederlassungen konnte schließlich die benötigten Datenbanken erfolgreich extrahieren und wiederherstellen und die Daten per Kurier an den Kunden senden.

Das Krankenhaus war sehr zufrieden mit der Vermittlungsunterstützung von Dell an Ontrack und der Tatsache, dass sie endlich alle ihre wichtigen Daten wieder zur Verfügung hatten. Darüber hinaus können die für dieses Projekt entwickelten Tools bei kommenden Datenwiederherstellungsfällen von Dell EqualLogic PS Array-Systemen erneut eingesetzt werden, wodurch sich zukünftige Datenwiederherstellungszeiten deutlich reduzieren lassen.