Bases de Datos Hospitalarias Recuperadas Luego de Ataques de Ransomware
The Situation
Muchos de los servidores del hospital resultaron paralizados por el virus, lo que limitó las operaciones. Los servidores no infectados resultaron afectados a causa del pánico, ya que fueron desconectados de la alimentación eléctrica mientras estaban en operación. En los sistemas de almacenamiento virtualizado altamente complejos, un apagado eléctrico incorrecto puede provocar problemas inesperados. Esa fue la situación de una matriz de almacenamiento Dell EqualLogic PS6500ES con un total de 148 discos rígidos de nivel profesional de 100 GB. Luego de que los intentos del personal de IT del hospital y el soporte técnico de Dell no lograran resolver el problema, se pusieron en contacto con los especialistas de Ontrack. Enviaron todas las unidades al laboratorio de recuperación de datos en Alemania para su evaluación.
El sistema EqualLogic PS6500ES de Dell normalmente contiene distintos discos rígidos, ordenados en bandejas de 16 o 48 discos rígidos, los cuales se conectan para formar sistemas RAID 5 o RAID 50 (submatrices). Estas matrices a su vez se conectan a “miembros”, y uno o más de esos miembros pertenecen a una unidad lógica (un grupo). Las LUN se crean y se almacenan en el grupo, y luego se fragmentan y se distribuyen a todos los miembros y submatrices. Son “rastreadas” por un mapa, el que a su vez se distribuye a sí mismo entre los miembros o las distintas submatrices cuando su tamaño resulta proporcionalmente grande. En este caso, nuestros especialistas descubrieron que de aquellas 7 bandejas con 148 discos rígidos, 3 bandejas con 80 discos rígidos contenían la LUN con las bases de datos de Oracle necesarias. Sin embargo, muchos de los vínculos (mapeos) de los fragmentos de datos, los cuales estaban distribuidos entre todos los discos rígidos, estaban dañados o no disponibles, por lo que el ordenamiento de los fragmentos resultó ser una tarea muy difícil. Además, el mapeo de un sistema PS de EqualLogic está codificado con una lógica específica, por lo que sus vínculos tampoco resultan fáciles de localizar.
The Solution
Para mapear los vínculos, los ingenieros especialistas de otras áreas de Ontrack desarrollaron nuevas herramientas de software para resolver específicamente los problemas lógicos y de daños con respecto a la RAID y el mapeo de las LUN.
Con la ayuda de esas nuevas herramientas, los ingenieros pudieron recrear los sistemas de RAID 5 y RAID 50, como así también mostrar la LUN. Esa LUN contenía un disco rígido virtual (un archivo VMDK), en donde se encontraban ocultos un sistema de archivos NTFS y 2 bases de datos Oracle. Fue necesario identificar y recuperar 2 capas de archivos dentro de la LUN, antes de poder exportar finalmente estas bases de datos.
The Resolution
El equipo compuesto por ingenieros de recuperación de datos de distintas áreas de Ontrack logró finalmente extraer y recuperar con éxito las bases de datos requeridas para su posterior envío al cliente.
El hospital quedó muy satisfecho con el soporte mediado por Dell a Ontrack, además del hecho de que nuevamente podían contar con todos sus datos importantes disponibles. Las herramientas desarrolladas para este proyecto serán utilizadas de nuevo para los futuros casos de recuperación de datos a partir de sistemas de matrices PS EqualLogic de Dell, lo que reducirá significativamente los tiempos de recuperación de datos a futuro.