Les données d'un hôpital sauvées après un ransomware

Situation

Une attaque de ransomware avec le virus « Locky » a eu des effets graves sur un grand hôpital allemand.

De nombreux serveurs de l'hôpital ont été paralysés par le virus, limitant les opérations. Les serveurs non infectés ont été affectés pendant la panique lorsque leurs blocs d'alimentation ont été déconnectés alors qu'ils étaient encore en fonctionnement. Dans les systèmes de stockage virtualisés très complexes, une coupure de courant incorrecte peut entraîner des problèmes inattendus. C'était le cas pour une baie de stockage Dell EqualLogic PS6500ES avec un total de 148 disques durs de qualité professionnelle de 100 Go. Le personnel informatique de l’hôpital et le support technique de Dell n’ayant pas été en mesure de résoudre le problème, les spécialistes d’Ontrack ont ​​été appelés à la rescousse. Tous les disques ont été livrés au laboratoire de récupération de données en Allemagne où ils ont été évalués.

Solution

Le système Dell EqualLogic PS6500ES contient généralement plusieurs disques durs disposés sur 16 ou 48 étagères et sont connectés ensemble pour former des systèmes RAID 5 ou RAID 50 (sous-matrices). Ces sous-tableaux sont à leur tour connectés à des "membres", avec un ou plusieurs membres appartenant à une unité logique (un groupe). Les LUN sont créés et stockés dans le groupe, puis fragmentés et distribués sur tous les membres et sous-baies. Ils sont "suivis" par une carte, qui à son tour se distribue aux membres ou aux différents sous-tableaux lorsqu'elle devient proportionnellement grande.

Dans ce cas, nos spécialistes ont découvert que sur les 7 étagères avec 148 disques durs, 3 étagères avec 80 disques durs contenaient le LUN avec les bases de données Oracle nécessaires. Cependant, de nombreux liens (mappages) des fragments de données (qui étaient distribués sur tous les disques durs) étaient corrompus ou n'étaient plus disponibles, de sorte que l'organisation des fragments s'est avérée être une tâche très difficile. Le mappage d'un système EqualLogic PS est également codé dans une logique spécifique, de sorte que les liens ici ne sont pas non plus faciles à localiser.

Pour cartographier les liens, des ingénieurs spécialisés d'autres bureaux Ontrack ont ​​développé de nouveaux outils logiciels pour résoudre spécifiquement les problèmes de logique et de corruption concernant le mappage RAID et LUN.

À l'aide des nouveaux outils, les ingénieurs ont pu recréer les systèmes RAID 5 et RAID 50 et afficher le LUN. Dans ce LUN, un disque dur virtuel (un fichier VMDK) était localisé, dans lequel un système de fichiers NTFS avec 2 bases de données Oracle était caché. Deux couches de fichiers ont dû être identifiées et récupérées dans le LUN avant que ces bases de données puissent être finalement exportées.

L'équipe d'ingénieurs a finalement réussi à extraire et à récupérer les bases de données nécessaires puis les a retourné au client.