Ein historischer Durchbruch: IBM Storwize Datenrettung

Die Situation

Ein Kunde wurde Opfer einer remote ausgeführten Ransomware-Attacke, die die Datenrettungsingenieure vor die bisher ungewöhnlichste Aufgabe einer Datenrettung stellte: die Wiederherstellung von 120 defekten Festplatten in einem IBM SVC Storwize v7000 System… Und das, ohne ein Backup, auf das man sich verlassen konnte.

Die Lösung

Aufgrund der kritischen Lage des Projekts, begannen die Datenrettungsingenieure von Ontrack einen umfangreichen Prozess für die Datenrettung auf die Beine zu stellen:   

1. Beratung

Das Ontrack-Team konnte sich mit dem Team des Kunden zusammenschließen und den Umfang des Datenverlusts und der betroffenen Speichersysteme ermitteln. Auf der Grundlage des festgelegten Umfangs konnte Ontrack einen Projektplan erstellen, die zeitlichen Erwartungen festlegen und die Kosten für die Datenwiederherstellung bestimmen.

2. Diagnose

Die Datenrettungsexperten nutzten die proprietären Tools von Ontrack, um die Festplatten zu analysieren, die wahrscheinliche Array-Konfiguration zu bestimmen sowie Hinweise auf Windows-Speicherplatz und virtuelle VMware-Speicher-Maschinen zu erkennen.

3. F&E-Simulation und Softwareprogrammierung

Nach der anfänglichen Diagnose analysierten die Ingenieure eine minimale Hardwarekonfiguration des IBM SVC Storwize v7000, um das Layout der Festplattenstrukturen zu ermitteln, die für die Zuordnung von Raid-Arrays verwendet werden, einschließlich verwalteter Festplatten, SVC-Pools, virtueller Festplatten und physischer Festplatten (=LUN).

Ontrack arbeitete dann eng mit der IT-Abteilung des Kunden zusammen, um die Hardware auf einem neuen Setup des IBM SVC Storwize v7000-Systems zum Laufen zu bringen.

Es wurden Simulationen durchgeführt, um festzustellen, ob die Umgebung des Kunden auf der Live-Hardware wiederhergestellt werden konnte und ob eine Struktur gefunden werden konnte, mit der die gelöschten Daten möglicherweise rekonstruiert werden konnten. Alle Ergebnisse bezüglich der simulierten Strukturen wurden mit den Strukturen auf den Originalfestplatten verglichen.

Der Vergleich der Strukturen ergab eine positive Vorhersage, und Ontrack konnte mit der Erstellung und Modifizierung proprietärer Tools fortfahren, um funktionsfähige Speichersysteme zu extrahieren und mit der erfolgreichen Datenwiederherstellung des SAN-Systems fortzufahren.

4. Datenwiederherstellung

Angesichts der enormen Herausforderung, die vor ihnen lag, führten die Datenwiederherstellungsexperten von Ontrack umfangreiche Untersuchungen an der proprietären Software von IBM durch, die dazu führten, dass die Ingenieure ihre Wiederherstellungstools so modifizierten, dass sie die virtuelle Wiederherstellung des DRAIDs, das auf dem IBM-System verwendet wurde, ermöglichten.

Das Herausfinden der Verteilungsmuster für DRAID erwies sich als der komplizierteste Teil des Wiederherstellungsprozesses, da alle Daten auf der DRAID6-MDisk mit einer Reihe anderer MDisks kombiniert und dynamisch mehreren Ebenen von VDisks und Dynamic Disks zugewiesen waren.

Sobald das Array virtuell wiederhergestellt war, konnte das Ontrack-Team die Volumes virtuell wiederherstellen und sie in 1.152 Geräte umwandeln, um das Gesamtlayout der darin enthaltenen verfügbaren Daten anzuzeigen, Berichte für den Kunden zu erstellen und die IBM Storwize-Datenwiederherstellung abzuschließen.