ランサムウェアから救出された病院のデータベース

状況

「Locky」ウイルスによるランサムウェア攻撃は、ドイツの大病院に深刻な影響を及ぼしました。

病院の多くのサーバーがウイルスによって麻痺し、業務が制限されました。感染していないサーバーは、パニック中に影響を受け、まだ稼働していましたが、電源が切断されました。非常に複雑な仮想化ストレージシステムでは、不適切な電源シャットダウンにより予期しない問題が発生する可能性があります。これは、合計148のプログレードの100ギガバイトのハードディスクを搭載したDell EqualLogic PS6500ESストレージアレイの場合でした。病院のITスタッフとDellの技術サポートが問題を解決できなかったため、オントラックの専門家が呼び出されました。ハードディスクはすべて、ドイツのデータ復旧ラボに送られ、そこで診断されました。

Dell EqualLogic PS6500ESシステムには、通常、16または48のハードディスクシェルフに配置された複数のハードディスクが含まれており、互いに接続されてRAID 5またはRAID 50システム（サブアレイ）を形成します。これらのサブアレイは次に「メンバー」に接続されます。1つ以上のメンバーが論理ユニット（グループ）に属します。LUNが作成され、グループに保存されてから、フラグメント化され、すべてのメンバーとサブアレイに分散されます。それらはマップによって「追跡」され、マップが相対的に大きくなると、メンバーまたはさまざまなサブアレイに配信されます。このケースで、当社の専門家は、148のハードディスクのある7つのシェルフから、Oracleデータベースを必要とするLUNを含む80のハードディスクのある3つのシェルフを発見しました。しかし、（すべてのハードディスクに分散した）データフラグメントのリンク（マッピング）の多くが破損しているか、使用できなくなっているため、フラグメントの配置は非常に困難な作業であることが判明しました。EqualLogic PSシステムのマッピングも特定のロジックでエンコードされているため、リンクも簡単に見つけることができません。

解決策

リンクをマッピングするために、他のオントラックのオフィスの専門エンジニアは、RAIDおよびLUNマッピングに関するロジックと破損の問題の解決に特化した新しいソフトウェアツールを開発しました。

新しいツールより、エンジニアはRAID 5およびRAID 50システムを作成し直すことができ、またLUNを表示することもできました。このLUN内には、2つのOracleデータベースを備えたNTFSファイルシステムが隠された仮想ハードディスク（VMDKファイル）がありました。これらのデータベースを最終的にエクスポートする前に、2つのファイルレイヤーを識別して、LUN内で復旧する必要がありました。