Disponível apenas na Ontrack: Recuperação de Dados do IBM Storwize
Recentemente, um cliente sofreu um ataque de ransomware remoto que representou para os engenheiros da Ontrack um dos esforços de recuperação de dados mais extraordinários até à data: restaurar 120 discos rígidos danificados num sistema IBM SVC Storwize v7000… sem poder contar com uma cópia de segurança.
Depois de verificar a natureza crítica do projeto, os especialistas em recuperação de dados da Ontrack iniciaram um processo completo para restaurar potencialmente os dados eliminados:
- Consulta
A equipa da Ontrack colaborou com a equipa do cliente para analisar o evento de perda de dados e os sistemas de armazenamento afetados. Baseada no âmbito definido, a Ontrack conseguiu determinar um plano para o projeto, definir as expectativas em termos de calendário e determinar os custos da recuperação de dados. - Diagnóstico
Os engenheiros de recuperação de dados utilizaram as ferramentas proprietárias da Ontrack para analisar os discos, determinar a provável configuração da matriz, bem como detetar as indicações do espaço de armazenamento do Windows e as máquinas virtuais de armazenamento VMware. - Simulação de I&D e Programação de Software
Após o diagnóstico inicial, os engenheiros analisaram uma configuração de hardware mínima do IBM SVC Storwize v7000 como forma de detetar a disposição das estruturas no disco utilizadas para mapear Matrizes Raid, incluindo os discos geridos, os agrupamentos SVC, os discos virtuais e os discos físicos (=LUN).
Em seguida, a Ontrack começou a trabalhar em estreita colaboração com o departamento de TI do cliente para o hardware começar a funcionar numa nova configuração do sistema IBM SVC Storwize v7000.As simulações foram efetuadas para ver se o ambiente do cliente podia ser recriado no hardware em direto e se era possível encontrar qualquer estrutura para, possivelmente, reconstruir os dados eliminados. Todas as conclusões relacionadas com as estruturas simuladas foram comparadas com as estruturas nos discos rígidos originais.
Uma previsão positiva foi formada com base na comparação das estruturas, e a Ontrack conseguiu avançar com a criação e a modificação das ferramentas proprietárias para extrair os sistemas de armazenamento funcionais, e avançar com êxito com a recuperação de dados de sistema SAN.
- Recuperação de Dados
Com um enorme desafio pela frente, os especialistas em recuperação de dados da Ontrack efetuaram uma pesquisa extensiva sobre o software proprietário da IBM. Como resultado, os engenheiros modificaram as ferramentas de recuperação para permitir a recriação virtual do DRAID que estava a ser utilizado no sistema IBM.
Determinar os padrões de distribuição para DRAID mostrou ser a parte mais complexa do processo de recuperação, uma vez que todos os dados armazenados no DRAID6 MDisk estavam combinados com vários outros MDisks, e atribuíram dinamicamente vários níveis de VDisks e Discos Dinâmicos.
Depois de recriada virtualmente a matriz, a equipa da Ontrack conseguiu recriar virtualmente os volumes, transformando-os em 1152 dispositivos para apresentar o esquema global dos dados disponíveis nele contidos para gerar relatórios para o cliente e concluir o processo de recuperação de dados do IBM Storwize.
Quando o cliente apresentou inicialmente o problema, havia pouca esperança de uma recuperação total (ou qualquer recuperação), dada a natureza complexa do sistema de armazenamento de dados IBM Storwize. No entanto, graças à diligência dos nossos engenheiros, está agora disponível unicamente através da Ontrack uma solução de recuperação de dados Ontrack sem precedentes para todos os sistemas IBM Storwize.
A Ontrack realiza uma recuperação de dados de emergência com o Raid 5
Um cliente multinacional tinha sido vítima do desaparecimento de dados financeiros e ficheiros de escritório essenciais, sem ter qualquer plano de dados de cópia de segurança implementado. Depois de se aperceber da urgência da situação de perda de dados, contactou imediatamente os engenheiros especializados da Ontrack para ajudarem a empresa no processo de recuperação.
Dada a importância dos dados perdidos, o cliente enviou todos os meios durante o fim de semana através de correio expresso para um engenheiro da Ontrack que, por acaso, estava de prevenção. A pedido do cliente, a Ontrack forneceu atualizações de projeto a cada 15 minutos, enquanto estava a ser preparado um plano de recuperação de dados.
Rapidamente se descobriu que os discos rígidos do cliente utilizavam o sistema Raid 5 e para garantir uma recuperação de dados bem-sucedida, os engenheiros teriam de reconstruir virtualmente os discos para assegurar a perfeita qualidade dos dados existentes nos volumes do VMFS VMware ESX 5.1.
Através de uma fantástica demonstração de trabalho de equipa e diligência, os engenheiros de recuperação de dados da Ontrack conseguiram repor todos os discos a quase 100% do seu volume de dados em 6 dias após a reconstrução do sistema: um testemunho da inigualável experiência e dedicação da empresa na resolução até dos desafios de dados mais complexos. O cliente expressou a sua enorme gratidão pela rápida recuperação de dados e ficou encantado por ter a sua empresa a funcionar em pouco menos de uma semana com a ajuda do serviço de recuperação de emergência da Ontrack.
Tem um portátil Mac que está danificado? Pode contar com a Ontrack
Um cliente contactou os especialistas da Ontrack para obter ajuda na recuperação de dados de um portátil Mac que ficou com a bateria queimada depois de cair ao chão e de um camião lhe passar acidentalmente por cima.
Os especialistas em recuperação da Ontrack analisaram os danos no dispositivo Mac e implementaram um processo de recuperação em três etapas para a extração de dados que incluiu:
- Descontaminação: um processo minucioso de remoção de todos os contaminantes que afetaram de forma negativa o funcionamento do portátil Mac danificado.
- Microssoldadura: uma pequena ferramenta de soldadura foi utilizada para substituir um conjunto de condensadores e resistências danificados que estavam perto da bateria queimada.
- Diagnóstico: o MacBook foi colocado num modo especial de diagnóstico, onde foram utilizadas ferramentas OEM fornecidas pela Apple e ferramentas exclusivas da Ontrack para montar o dispositivo de armazenamento interno como um volume nas máquinas de laboratório e processar a cópia.
Uma vez concluído o processo, a Ontrack conseguiu extrair e verificar com sucesso todos os dados.
Alguns acidentes não são fáceis de explicar. Os especialistas em recuperação da Ontrack são dignos de confiança e fornecem um serviço satisfatório no que diz respeito à recuperação Mac, bem como à recuperação de dados em dispositivos semelhantes, independentemente de os danos se deverem a queda e quebra acidental ou a um inesperado camião na estrada.
Uma análise profunda dos dados Dell/EMC Isilon
Um cliente executou inadvertidamente um comando que eliminou ficheiros críticos de uma matriz de armazenamento Dell/EMC Isilon que continha 270 discos com um total de 2 petabytes (PB).
Após receberem as unidades em questão, os engenheiros de recuperação da Ontrack iniciaram uma avaliação aprofundada e determinaram que era necessário contar com a ajuda da equipa de desenvolvimento JIT para recuperar os dados desta versão do Isilon. Trabalharam dia e noite durante oito semanas, incluindo fins de semana e feriados, para desenvolver uma solução adequada.
Findo esse tempo, foi entregue ao cliente um conjunto inicial de dados. Embora o cliente tenha recebido os ficheiros recuperados com grande satisfação, também solicitou que fossem realizadas tarefas subsequentes para provar que nada foi deixado ao acaso nos esforços de recuperação, em conformidade com os requisitos regulamentares.
A equipa de desenvolvimento JIT da Ontrack assim o fez, revendo minuciosamente todas as 270 unidades à procura de ficheiros que correspondessem aos requisitos regulamentares e implementando um processo que iria pesquisar, copiar e deduplicar ficheiros específicos encontrados em cada disco. Depois de meses de pesquisa secundária exaustiva, foram produzidos mais de 300 milhões de ficheiros e 13 terabytes (TB) de ficheiros PDF e JPG.
Este projeto exemplifica a capacidade de a equipa de especialistas em recuperação da Ontrack fazer todos os possíveis e impossíveis para atender às necessidades do cliente.
A nossa equipa de engenheiros não só dispõe de todas as valências para restaurar ficheiros perdidos do armazenamento Dell/EMC Isilon, como também está preparada para ajudar a sua empresa a fornecer prova adequada de recuperação de dados de acordo com as normas regulamentares.
Recuperação de ransomware - Veeam Agent for Windows
Um cliente que presta serviços de saúde foi afetado por um ataque de ransomware que não só teve como alvo os seus dados do servidor, mas também as cópias de segurança do "Veeam Agent for Windows" localizadas num HDD externo.
O seu contrato de fornecedor de serviços geridos/de TI não incluía cópias de segurança regulares num local externo, pelo que aquela era a única cópia dos dados que existia.
O cliente conseguiu enviar o HDD afetado para a Ontrack, onde uma imagem da unidade foi obtida para preservar o estado original do suporte do cliente.
Os engenheiros da Ontrack avaliaram os danos aos ficheiros de cópia de segurança da Veeam afetados e identificaram que seria possível efetuar uma recuperação parcial, uma vez que os ficheiros não estavam totalmente encriptados, o que significava que havia uma possibilidade de alguns dados poderem ser recuperados a partir dos ficheiros. No entanto, foi determinado que a versão do Veeam utilizada era mais recente do que a Ontrack poderia suportar recorrendo às ferramentas atuais e à assistência de desenvolvimento necessária.
Com uma presença global em engenharia, bem como equipas de desenvolvimento internas que mantêm e melhoram as nossas ferramentas exclusivas, a Ontrack foi capaz de pesquisar, desenvolver e implementar suporte para a nova versão rapidamente. Na verdade, grande parte da demorada pesquisa necessária já tinha sido realizada para trabalhos semelhantes que decorreram nos nossos escritórios da Europa.
Isso permitiu que os programadores da Ontrack modificassem as ferramentas, de forma rápida e eficiente, para o nível necessário que permitia o suporte a este cenário de restauro. Em vez de construir uma ferramenta completa, os engenheiros da Ontrack puderam usar a versão melhorada das ferramentas para realizar pesquisas de estruturas necessárias para permitir a reconstrução manual de componentes internos essenciais para a recuperação de dados a partir do ficheiro.
Depois de a reparação dos ficheiros ter sido concluída, os engenheiros puderam usar o restante conjunto de ferramentas Veeam para concluir uma extração de dados a partir dos ficheiros reparados.
Os dados recuperáveis consistiam em muitos tipos de dados de ficheiros simples que tinham sido completamente perdidos pelo cliente durante o ataque de ransomware.
Ransomware attacks server – backup tapes erased
A ransomware attack of a company server encrypted the Microsoft Dynamics 365 data and demanded payment. Recent backups of the server were stored on multiple LTO-6 backup tapes, which had been erased by the malware.
After assessing the extent of the ransomware attack, Ontrack representatives identified the company’s backup tapes as the best option for data recovery—even though the malware had erased them. 23 LTO-6 backup tapes from the backup library were sent to the Ontrack office in Böblingen, Germany. Working in conjunction with the R&D department in the United Kingdom, Ontrack developed a custom solution to recover the data from the erased backup tapes.
Ontrack was able to restore 46TB of data from 18 of the LTO-6 tapes. Due to the type of attack on the tapes, Ontrack had to repair the logical damage, shipping the data and tapes separately back to the customer.
Ransomware VBK Recoveries on Tape - Server & NAS Systems
The attacked volume was originally also used to back up data to LTO8 tapes at regular intervals. Most of these backup tapes were also in the tape library at the time of the incident and were quickly formatted by the attackers. However, the customer was able to save an original unformatted tape with a fairly old backup date, which was then completely restored to the now empty Windows volume with a total of 6 TB. Only then was Ontrack commissioned to examine data recovery options. The HP server DL380 with the 55 3TB hard disks were transported to Ontrack in Böblingen Germany.
During the diagnosis, a large number of the searched VEEAM vbk files were successfully found on the Windows volume with Ontrack Tools and 27 records were extracted according to a priority list. The restore of the LTO8 tape partially overwrote some of the data sets and damaged the backup files.
A large part of the data could still be repaired and extracted in several steps.
Later on, 19 significantly older LTO8 quick formatted tape backups were successfully recovered too.The attack also affected numerous European sub offices of the customer. Here were predominantly QNAP NAS systems in use which had stored virtual VMs under VMware, including backup VMs that were partially deleted or internally reformatted with another file system. Ontrack was also able to successfully restore complete backup data in 90% of the seven cases ordered.
Accidental Deletion of Virtual Machines Results in 15TB Lost.
An accidental deletion at a large wireless provider causes a massive loss of email databases.
The wireless carrier stored all of their Microsoft® Exchange databases spread across 24 separate 2TB LUNs on an EMC® VNX 5400 using VMware® virtual machines. It was also set up so each database had a mirror copy on a different LUN. All of the virtual machines were accidentally deleted resulting in the loss of email for the entire company.
New tools made recovery from highly specialized EMC® Isilon® big data storage possible.
The pharmaceutical company lost almost 4 million files of highly critical research and development data when moving files within the Isilon storage system.
The “lost files” were mostly raw data gathered from chemical analysis in ongoing laboratory research work. The firm, together with EMC support, was able to recover 90 percent of the data using a standard rebuild process. To recover the desperately needed remaining files, Ontrack was contacted by the customer for help. Ontrack worked with the EMC support in order to get detailed information on the situation.
The Isilon IQ 6000x, designed for big data, consisted of four nodes with 15 terabytes of data storage in total with 500 gigabyte hard drives installed.
It was set up as a single volume where all of the data was striped across the disks. Unlike a traditional RAID system, Isilon systems are built on the concept of a huge data lake where all data is stored and managed inside one data pool. To manage the system and this “data lake” a unique file system was created by Isilon called OneFS. In this case one of the four nodes inside the system experienced a kernel panic and several disks showed multiple errors. EMC was able to gather most of the files with a rebuild before a consistency check showed that several disks had errors. To recover the missing data, the file system had to be analyzed by the Ontrack team to find out how the data was laid out in the whole storage system.
To find out how the data originally was distributed over the disks and determine the data mapping, Ontrack s own R&D department developed a brand new set of tools unique to the OneFS.
With these tools, an existing OneFS volume can be analyzed in depth and missing or faulty data file structures inside the “big” data lake can be discovered even more quickly. With the now gathered information on how the data structure of the Isilon system was setup, the engineers were finally able to rebuild and recover the missing data.
In the end, Ontrack engineers were able to recover almost all of the missing files with only a couple of bad files due to damaged encryption.
The client was delighted that Ontrack handled such a complex recovery so quickly. None of the confidential data was compromised and the solution provided by Ontrack was cost-effective and completed within a very short timeframe. With the newly developed tools for this case, Ontrack is currently the only data recovery service provider with the ability to recover data from Isilon storage systems.
Ontrack is assisted by NetApp’s technology to solve a ransomware infection.
A single user’s laptop at a large pharmaceutical company was infected with CryptoLocker ransomware.
This malware encrypts the user’s files and withholds the encryption key until you pay the ransom amount. The laptop was connected to the corporate network which allowed the malware to infect a CIFS volume which was set up as a file share on a NetApp FAS.
The malware was able to infiltrate the file share and encrypt the majority of the files. The IT team was not notified of the infection until after the backup retention period had expired, meaning that the backup contained only encrypted data. The total impact resulted in inaccessible data on:
- 46 drives
- 1 aggregate
- 1 volume infected on a RAID-DP
To perform the recovery, the aggregate needed to be taken offline, which affected 17 volumes in total.
The customer brought their 46 drives into our New Jersey lab for evaluation and Ontrack engineers got to work on a solution.
The engineering team from Ontrack:
- Virtually rebuilt the RAID groups which were strewn across 10 different shelves
- Virtually rebuilt the aggregate
- Virtually rebuilt the critical volume
An additional challenge on this recovery was that the aggregate was in use for two weeks after the incident occurred which resulted in some data being overwritten.
Ontrack was able to virtually rebuild the volume containing the CIFS share and encrypted data.
Leveraging NetApp’s proprietary OS (OnTap) and file system (WAFL), Ontrack engineers used multiple consistency points to “walk back” in time to find and merge unencrypted copies of the critical data to return to the customer. This type of recovery is only possible on storage like NetApp’s FAS because of the way the data is stored on the volume.
Partnering with EMC Creates New Tools for Recovery of 10 TB of Data.
Due to the Copy-On-Write system used by Isilon OneFS, the engineering team at Ontrack was able to find many copies of the deleted file metadata in the unallocated portions of the volume. They extracted 120,000 business critical files which were accidentally deleted and returned them back to the customer.
Double disk failure of RAID 5, and all patient data is gone.
Hospital databases rescued from ransomware.
Ontrack Provides Database and Backup Restores After a Flood.
Missing Dell® EqualLogic™ LUNs Recovered via Remote Data Recovery.
Ontrack recovers over 230 million files from Commvault database.
24 terabytes of data recovered from RAID 6 array with newly developed toolset.
Unfortunately, the system failed to rebuild the data after two hard disk drives failed resulting in the loss of access to 24 terabytes of highly critical data. The organization approached the experts at Ontrack for help.
The Ontrack developers quickly created the tools needed to improve the success of the recovery. After only a few hours, the first virtual machine was rebuilt allowing for the extraction of the Exchange databases to be returned to the customer. The team continued to rebuild all of the critical virtual machines until the client’s email was back in production. At the end of the project, a total of 15TB of data was recovered with minimal downtime for the client.
Accidental wipe command brings down critical production database server.
Four terabytes of data recovered from flood damaged HP EVA SAN
A flooded data center left a client’s servers and storage systems partially submerged in water.
At the center of the damage was a HP Storage Works EVA (Enterprise Virtual Array) 6000 containing business critical SQL database files as well as employee file shares. The EVA sustained substantial physical damage due to the flood water preventing access to the data. The severity of the damage from the flood was increased when an attempt was made to access the data by powering on the drives that were still wet. The customer contacted HP Support for help and they handed the project over to Ontrack.
The SAN consisted of 80 hard disk drives which were divided into 2 EVA disk groups; in total there were 18 virtual RAID volumes consisting of both VRAID1 and VRAID5.
A HP EVA system is fully virtualized and has a unique way to write data which adds to the complexity of any data recovery effort. It works with disk groups and virtual disks instead of normal RAID sets and logical drive volumes. The disk groups consist of physical drives organized in a proprietary manner. LUNs or Virtual disks (vDisks) in an EVA are then distributed over all of the installed HDDs.
Due to the physical damage, all of the drives were sent to one of Ontrack´s cleanroom facilities to be assessed.
Once the 80 drives were decontaminated and cleaned, 55 were found to be fully recoverable. 25 of the drives had severe water damage and were not recoverable. To regain access to the data on the damaged drives, the engineers needed to research how the EVA RAID and file system was structured. After the engineers were able to map the disk groups and determine how the vDisks were distributed, they had to rebuild the whole EVA system. To recover the data included in the vDisks, the R&D team and its software developers had to create completely new tools to extract the data. Once the development was complete, Ontrack engineers virtually assembled the disk groups and virtually rebuilt the vDisks which allowed access to the underlying file systems. The file systems were virtually repaired and the data extracted.
After extensive development, reengineering and recovery work the project successfully ended.
With the newly created tools the data recovery specialists were able to recover four terabytes of sensitive data including the critical SQL database files. In all, approximately 86 percent of the total data lost was recovered. With the HP EVA SAN data mapping knowledge gained and the integration of the newly developed tools, Ontrack is able to quickly recover data from all models of the HP Enterprise EVA storage systems.