オントラックは、NetAppのテクノロジーを駆使してランサムウェア感染を解決する

Written By: Ontrack

Date Published: 2022/09/07 9:47:32

オントラックは、NetAppのテクノロジーを駆使してランサムウェア感染を解決する

The Situation

大手製薬会社で努めているユーザーのノートパソコンがCryptoLockerランサムウェアに感染しました。 

このマルウェアは、ユーザーのファイルを暗号化し、身代金を支払うまで暗号化キーを保留します。 ノートパソコンが企業ネットワークに接続されていたため、NetApp FAS上のファイル共有として設定されたCIFSボリュームにもマルウェアの感染を許してしまいました。 マルウェアはファイル共有に侵入し、ファイルの大部分を暗号化しました。 ITチームには、バックアップの保持期間が終了するまで感染が通知されることはありませんでした。つまり、バックアップには暗号化されたデータのみが残っていました。 結果的に、次のデータにアクセスできなくなりました:

■46個のドライブ
■1つのアグリゲート
■RAID-DPで感染した1つのボリューム

復旧を実行するには、感染した17ボリュームのアグリゲートをオフラインにする必要がありました。

The Solution

お客様は46個のドライブを診断のためにニュージャージーのラボに持ち込み、オントラックのエンジニアが問題の解決に取り組みました。

オントラックのエンジニアリングチームは以下の作業を実施、完了しました:

■10の異なるシェルフに散らばっていたRAIDグループを仮想的に再構築

■アグリゲートを仮想的に再構築

■重要なボリュームを仮想的に再構築

この復旧に関するもう1つの課題は、問題が発生してから2週間にわたってアグリゲートの使用が継続されていた結果、一部のデータが上書きされてしまいました。

The Resolution

オントラックは、CIFS共有と暗号化されたデータを含むボリュームを仮想的に再構築できました。

オントラックのエンジニアは、NetApp独自のOS(OnTap)とファイルシステム(WAFL)を活用し、複数の整合性ポイントを使用して時間を「遡り」、重要なデータの暗号化されていないコピーを見つけてマージし、お客様に返却しました。 このタイプの復旧は、データがボリュームに保存される方法であるため、NetAppのFASなどのストレージでのみ可能です。

購読

KLDiscovery Ontrack株式会社 〒100-0011 東京都千代田区内幸町2-2-3 日比谷国際ビル3F (全国拠点一覧)