Bazy danych szpitala uratowane przed ransomware.

Sytuacja

Atak ransomware z użyciem wirusa "Locky" miał poważne skutki dla dużego niemieckiego szpitala.

Wiele serwerów w szpitalu zostało sparaliżowanych przez wirusa, co ograniczyło ich działanie. Niezainfekowane serwery ucierpiały podczas paniki, gdy pracownicy odłączyli działające systemy od zasilania. W wysoce złożonych zwirtualizowanych systemach pamięci masowej nieprawidłowe wyłączenie zasilania może spowodować nieoczekiwane problemy. Tak było w przypadku macierzy dyskowej Dell EqualLogic PS6500ES z łącznie 148 profesjonalnymi 100-gigabajtowymi dyskami twardymi. Po tym, jak personel IT szpitala i wsparcie techniczne Dell nie były w stanie rozwiązać problemu, specjaliści z Ontrack zostali wezwani na pomoc. Wszystkie dyski zostały dostarczone do laboratorium odzyskiwania danych w Niemczech, gdzie zostały poddane ocenie.

System Dell EqualLogic PS6500ES zazwyczaj zawiera wiele dysków twardych rozmieszczonych na 16 lub 48 półkach i połączonych ze sobą w celu utworzenia systemów RAID 5 lub RAID 50 (macierzy podrzędnych). Te macierze podrzędne są z kolei połączone z "członkami", przy czym jeden lub więcej członków należy do jednostki logicznej (grupy). Jednostki LUN są tworzone i przechowywane w grupie, a następnie fragmentowane i dystrybuowane na wszystkich elementach członkowskich i macierzach podrzędnych. Są one "śledzone" przez mapę, która z kolei dystrybuuje się do członków lub do różnych macierzy podrzędnych, gdy staje się proporcjonalnie duża. W tym przypadku nasi specjaliści odkryli, że z siedmiu półek ze 148 dyskami twardymi, trzy półki z 80 dyskami twardymi zawierały LUN z potrzebnymi bazami danych Oracle. Jednak wiele łączy (mapowań) fragmentów danych (które były rozmieszczone na wszystkich dyskach twardych) było albo uszkodzonych, albo już niedostępnych, więc uporządkowanie fragmentów okazało się bardzo trudnym zadaniem. Mapowanie systemu EqualLogic PS jest również zakodowane w określonej logice, więc łącza tutaj również nie są łatwe do zlokalizowania.

Rozwiązanie

Aby zmapować łącza, wyspecjalizowani inżynierowie z innych biur Ontrack opracowali nowe narzędzia programowe w celu rozwiązania problemów z logiką i uszkodzeniami w odniesieniu do RAID i mapowania LUN.

Z pomocą nowych narzędzi inżynierowie byli w stanie odtworzyć systemy RAID 5 i RAID 50, a także wyświetlić jednostki LUN. W ramach tej jednostki LUN zlokalizowano wirtualny dysk twardy (plik VMDK), w którym ukryto system plików NTFS z dwiema bazami danych Oracle. Dwie warstwy plików musiały zostać zidentyfikowane i odzyskane w ramach jednostki LUN, zanim te bazy danych mogły zostać ostatecznie wyeksportowane.

Rozwiązanie

Zespół inżynierów odzyskiwania danych z kilku biur Ontrack był w stanie z powodzeniem wyodrębnić i odzyskać wymagane bazy danych oraz wysłać je kurierem do klienta.

Szpital był bardzo zadowolony ze wsparcia ze strony Dell i Ontrack oraz z faktu, że w końcu wszystkie ważne dane były ponownie dostępne. Ponadto narzędzia opracowane dla tego projektu mogą być ponownie wykorzystane w kolejnych przypadkach odzyskiwania danych z systemów Dell EqualLogic PS Array, znacznie skracając czas odzyskiwania danych w przyszłości.

Share Print Page

Według Urządzenia

Według Rozwiązania

Według Branży

Odzyskiwanie danych

Usługi Niszczenia Danych

Taśmy

Inne usługi

Ontrack EasyRecovery

Ontrack PowerControls

Rozwiązania do kasowania danych

Sprzęt do kasowania danych

Ontrack Partners

Partnerzy Technologiczni