Résolution d’un ransomware à l’aide d’une technologie NetApp

Situation

L'ordinateur portable d'un employé d'une grande entreprise pharmaceutique a été infecté par le ransomware CryptoLocker.

Ce logiciel malveillant chiffre les fichiers de l'utilisateur et retient la clé de chiffrement jusqu'à ce que vous payiez le montant de la rançon. L'ordinateur portable était connecté au réseau de l'entreprise, ce qui a permis au logiciel malveillant d'infecter un volume CIFS configuré en tant que partage de fichiers sur un NetApp FAS. Le logiciel malveillant a pu s'infiltrer dans le partage de fichiers et chiffrer la majorité des fichiers. L'équipe IT n'a été informée de l'infection qu'après l'expiration de la période de rétention de la sauvegarde, ce qui signifie que la sauvegarde ne contenait, elle aussi, que des données chiffrées. L'impact total a abouti à des données inaccessibles sur :

• 46 lecteurs,
• 1 agrégat,
• 1 volume infecté sur un RAID-DP.

Solution

Pour effectuer la restauration, l'agrégat a du être mis hors ligne, ce qui affectait 17 volumes au total. Le client a donc apporté ses 46 disques dans notre laboratoire du New Jersey pour évaluation. Les ingénieurs Ontrack ont ​​ensuite :

• reconstruit virtuellement les groupes RAID éparpillés sur 10 étagères différentes,
• reconstruit virtuellement l'agrégat,
• reconstruit virtuellement le volume critique.

Un autre défi de cette récupération était que l'agrégat a été utilisé pendant 2 semaines après l'incident, ce qui a entraîné l'écrasement de certaines données. Ontrack a malgré tout pu reconstruire virtuellement le volume contenant le partage CIFS et les données chiffrées.