Database di un ospedale recuperati dopo attacco ransomware

Lo scenario

Un attacco ransomware con il virus "Locky" ha avuto gravi effetti per un grande ospedale tedesco.

Molti server dell'ospedale sono rimasti paralizzati dal virus, limitando le operazioni. I server non infetti sono stati colpiti quando i loro alimentatori sono stati scollegati mentre erano ancora in funzione. In sistemi di archiviazione virtualizzati altamente complessi, uno spegnimento improprio può causare problemi imprevisti. Questo è stato il caso di un array di archiviazione Dell EqualLogic PS6500ES con un totale di 148 dischi rigidi da 100 gigabyte di livello professionale. Dopo che il personale IT dell'ospedale e il supporto tecnico di Dell non sono stati in grado di risolvere il problema, sono stati contattati gli specialisti di Ontrack. Tutte le unità sono state consegnate al laboratorio di recupero dati in Germania, dove sono state valutate.

Il sistema Dell EqualLogic PS6500ES contiene in genere più dischi rigidi disposti su 16 o 48 livelli di dischi rigidi e collegati insieme per formare sistemi RAID 5 o RAID 50 (sotto-array). Questi sotto-array a loro volta sono collegati a "membri", con uno o più membri appartenenti a un'unità logica (un gruppo). I LUN vengono creati e archiviati nel gruppo, quindi frammentati e distribuiti su tutti i membri e sotto-array. Sono "tracciati" da una mappa, che a sua volta si distribuisce ai membri o ai vari sottoarray quando diventa proporzionalmente grande. In questo caso i nostri specialisti hanno scoperto che di quei sette livelli con 148 dischi rigidi, tre livelli con 80 dischi rigidi contenevano il LUN con i database Oracle necessari. Tuttavia, molti dei collegamenti (mappature) dei frammenti di dati (che sono stati distribuiti su tutti i dischi rigidi) erano danneggiati o non più disponibili, quindi la disposizione dei frammenti si è rivelata un compito molto difficile. Anche la mappatura di un sistema PS EqualLogic è codificata in una logica specifica, quindi neanche i collegamenti qui sono facili da individuare.

La soluzione

Gli ingegneri specializzati di altri uffici Ontrack hanno sviluppato nuovi strumenti software per risolvere specificamente i problemi di logica e corruzione relativi al RAID e alla mappatura LUN.

Con l'aiuto dei nuovi strumenti, gli ingegneri sono stati in grado di ricreare i sistemi RAID 5 e RAID 50 nonché di visualizzare la LUN. All'interno di questa LUN si trovava un disco rigido virtuale (un file VMDK), in cui era nascosto un file system NTFS con due database Oracle. Prima di poter finalmente esportare questi database, è stato necessario identificare e ripristinare due livelli di file all'interno della LUN.