Ontrack incorpora la tecnología de NetApp para resolver infecciones de ransomware.

ene. 22, 2021, 04:42
The Client:

Este malware cifra los archivos del usuario y oculta la clave de cifrado hasta que se paga el rescate. El portátil estaba conectada a la red corporativa, lo que le permitió al malware infectar un volumen CIFS que estaba configurado como ubicación compartida sobre una FAS de NetApp. El malware logró infiltrar los archivos compartidos y cifrar la mayoría de los archivos. El equipo de IT no recibió la notificación de la infección de transcurrido el período para completar las copias de respaldo, lo que provoco que la copia de respaldo solamente contuviese datos cifrados. El impacto total del ataque bloqueo el acceso a los datos en:

  • 46 unidades.
  • 1 acumulado.
  • Un volumen infectado en una RAID-DP.

Para realizar la recuperación, fue necesario sacar de línea el acumulado, lo que afectó a 17 volúmenes en total.

El cliente llevó las 46 unidades nuestro laboratorio de New Jersey para su evaluación y los ingenieros de Ontrack comenzaron a trabajar en una solución.

 

  • El equipo de ingeniería de Ontrack:
  • Reconstruyó virtualmente los grupos de RAID de 10 bandejas distintas.
  • Reconstruyó virtualmente el acumulado.
  • Reconstruyó virtualmente el volumen crítico.

Una dificultad adicional de esta recuperación fue que el acumulado continuó utilizándose durante las 2 semanas posteriores al incidente, lo que provocó la sobrescritura de algunos de los datos.

Ontrack pudo reconstruir virtualmente el volumen que contenía el CIFS compartido y los datos cifrados.

Aprovechando el Sistema Operativo bajo derechos de propiedad de NetApp (OnTap) y su sistema de archivos (WAFL), los ingenieros de Ontrack utilizaron múltiples puntos de coherencia para así “retroceder” en el tiempo y lograr localizar y fusionar copias no cifradas de los datos críticos para entregar al cliente. Este tipo de recuperación solamente es posible en almacenamientos como el FAS de NetApp debido a la forma en que los datos están almacenados en el volumen.

Load more comments
Thank you for the comment! Your comment must be approved first


Nuevo código