Ziekenhuis databases gered van ransomware.
De situatie
Een ransomware-aanval met het ‘Locky’ -virus had ernstige gevolgen voor een groot Duits ziekenhuis. Veel servers in het ziekenhuis raakten verlamd door het virus, waardoor de operaties werden beperkt. Niet-geïnfecteerde servers werden getroffen tijdens de paniek toen hun voedingen werden losgekoppeld terwijl ze nog in bedrijf waren. In zeer complexe gevirtualiseerde opslagsystemen kan een onjuiste stroomuitval tot onverwachte problemen leiden. Dit was het geval voor een Dell EqualLogic PS6500ES-opslagarray met in totaal 148 professionele harde schijven van 100 gigabyte. Nadat het IT-personeel van het ziekenhuis en de technische ondersteuning van Dell het probleem niet konden oplossen, werden de specialisten van Ontrack ingeschakeld om te helpen. Alle schijven zijn geleverd aan het laboratorium voor data recovery in Duitsland, waar ze zijn beoordeeld. Het Dell EqualLogic PS6500ES-systeem bevat doorgaans meerdere harde schijven die zijn gerangschikt op 16 of 48 harde-schijf shelves en die met elkaar zijn verbonden om RAID 5- of RAID 50-systemen (sub-arrays) te vormen. Deze sub-arrays zijn op hun beurt weer verbonden met ’members’, met een of meer members die tot een logische eenheid (een groep) behoren. LUN's worden gemaakt en opgeslagen in de groep, vervolgens gefragmenteerd en verdeeld over alle members en sub-arrays. Ze worden 'gevolgd' door een map, die zichzelf op zijn beurt verdeelt onder de members of naar de verschillende subarrays wanneer deze proportioneel groot wordt. In dit geval ontdekten onze specialisten van die zeven shelves met 148 harde schijven, dat drie shelves met 80 harde schijven de LUN met de benodigde Oracle-databases bevatten. Veel van de links (mappings) van de datafragmenten (die over alle harde schijven waren verdeeld) waren echter beschadigd of niet langer beschikbaar, dus het ordenen van de fragmenten bleek een zeer moeilijke taak. De mapping van een EqualLogic PS-systeem is ook gecodeerd in een specifieke logica, dus de links hier zijn ook niet gemakkelijk te vinden.
De oplossing
Om de links in kaart te brengen, hebben gespecialiseerde ingenieurs van andere Ontrack-kantoren nieuwe softwaretools ontwikkeld om specifiek de logica- en corruptieproblemen met betrekking tot de RAID en de LUN-mapping op te lossen. Met behulp van de nieuwe tools konden de ingenieurs de RAID 5 en RAID 50 opnieuw aanmaken en de LUN weergeven. Binnen deze LUN bevond zich een virtuele harde schijf (een VMDK-bestand), waarin een NTFS-bestandssysteem met twee Oracle-databases verborgen zat. Twee bestandslagen moesten worden geïdentificeerd en hersteld binnen de LUN voordat deze databases uiteindelijk konden worden geëxporteerd.
Het resultaat
Het team van data recovery-ingenieurs van verschillende Ontrack-kantoren was toen in staat om met succes de vereiste databases te extraheren en te herstellen en de gegevens per koerier naar de klant te sturen. Het ziekenhuis was erg blij met de bemiddelingsondersteuning van Dell naar Ontrack en het feit dat ze eindelijk al hun belangrijke gegevens weer beschikbaar hadden. Bovendien kunnen de tools die voor dit project zijn ontwikkeld, opnieuw worden gebruikt in toekomstige gevallen van data recovery van Dell EqualLogic PS Array-systemen, waardoor toekomstige hersteltijden aanzienlijk worden verkort.