オントラックは、NetAppのテクノロジーを駆使してランサムウェア感染を解決する

2 20, 2020

状況

大手製薬会社で努めているユーザーのノートパソコンがCryptoLockerランサムウェアに感染しました。

このマルウェアは、ユーザーのファイルを暗号化し、身代金を支払うまで暗号化キーを保留します。ノートパソコンが企業ネットワークに接続されていたため、NetApp FAS上のファイル共有として設定されたCIFSボリュームにもマルウェアの感染を許してしまいました。マルウェアはファイル共有に侵入し、ファイルの大部分を暗号化しました。 ITチームには、バックアップの保持期間が終了するまで感染が通知されることはありませんでした。つまり、バックアップには暗号化されたデータのみが残っていました。結果的に、次のデータにアクセスできなくなりました：

■46個のドライブ

■1つのアグリゲート

■RAID-DPで感染した1つのボリューム

復旧を実行するには、感染した17ボリュームのアグリゲートをオフラインにする必要がありました。

解決策

お客様は46個のドライブを診断のためにニュージャージーのラボに持ち込み、オントラックのエンジニアが問題の解決に取り組みました。

オントラックのエンジニアリングチームは以下の作業を実施、完了しました：

■10の異なるシェルフに散らばっていたRAIDグループを仮想的に再構築

■アグリゲートを仮想的に再構築

■重要なボリュームを仮想的に再構築

この復旧に関するもう1つの課題は、問題が発生してから2週間にわたってアグリゲートの使用が継続されていた結果、一部のデータが上書きされてしまいました。

結果

オントラックは、CIFS共有と暗号化されたデータを含むボリュームを仮想的に再構築できました。

オントラックのエンジニアは、NetApp独自のOS（OnTap）とファイルシステム（WAFL）を活用し、複数の整合性ポイントを使用して時間を「遡り」、重要なデータの暗号化されていないコピーを見つけてマージし、お客様に返却しました。このタイプの復旧は、データがボリュームに保存される方法であるため、NetAppのFASなどのストレージでのみ可能です。