Technologie von NetApp unterstützt Ontrack bei Datenrettung nach Ransomware-Angriff

Feb 20, 2020

Die Situation

Der Laptop eines einzelnen Benutzers in einem großen Pharmaunternehmen wurde mit der Ransomware CryptoLocker infiziert.

Diese Malware verschlüsselt die Dateien des Benutzers und hält den Verschlüsselungsschlüssel zurück, bis Sie den Lösegeldbetrag bezahlen. Der Laptop war mit dem Firmennetzwerk verbunden, wodurch die Malware ein CIFS-Volume infizieren konnte, das als Dateifreigabe auf einer NetApp FAS eingerichtet war. Die Malware war in der Lage, die Dateifreigabe zu infiltrieren und die meisten Dateien zu verschlüsseln. Das IT-Team wurde erst nach Ablauf der Backup-Aufbewahrungsfrist über die Infektion informiert, was bedeutet, dass das Backup nur verschlüsselte Daten enthielt. Die Gesamtauswirkungen führten zu unzugänglichen Daten auf:

■ 46 Laufwerke

■ 1 Aggregat

■ 1 infiziertes Volume auf einem RAID-DP

Um die Wiederherstellung durchzuführen, musste das Aggregat offline genommen werden, was auch 17 Volumes betraf.

Die Lösung

Der Kunde brachte seine 46 Laufwerke zur Analyse in unser Labor in New Jersey und die Ingenieure von Ontrack machten sich an die Arbeit, um eine Lösung zu finden.

Das Ingenieurteam von Ontrack machte ein:

■ Virtuelles Rebuild der RAID-Gruppen, die über 10 verschiedene Regale verstreut waren

■ Virtuelles Rebuild des Aggregats

■ Virtuelles Rebuild des kritischen Volumes

Eine zusätzliche Herausforderung bei dieser Wiederherstellung bestand darin, dass das Aggregat nach dem Vorfall zwei Wochen lang in Betrieb war, was dazu führte, dass einige Daten bereits überschrieben worden waren.

Das Ergebnis

Ontrack war in der Lage, das Volume mit der CIFS-Freigabe und den verschlüsselten Daten virtuell wiederherzustellen.

Durch den Einsatz von NetApps proprietärem Betriebssystem (OnTap) und Dateisystem (WAFL) nutzten die Techniker von Ontrack mehrere Konsistenzpunkte, um in der Zeit "zurückzugehen" und unverschlüsselte Kopien der kritischen Daten zu finden und zusammenzuführen, um sie dem Kunden zurückzugeben. Diese Art der Wiederherstellung ist aufgrund der Art und Weise, wie die Daten auf dem Volume gespeichert werden, nur auf Storage wie dem FAS von NetApp möglich.