NetApp 的技術協助 Ontrack 解決勒索軟件感染。
二月 20, 2020
情況
一間大型藥業公司內,一名用戶的手提電腦遭受 CryptoLocker 勒索軟件感染。
該惡意軟件加密用戶檔案,並保留加密密鑰,直到您支付贖金為止。 手提電腦已連接到公司網絡,而該公司的網絡使惡意軟件得以感染 CIFS 磁碟區;該磁碟區已在 NetApp FAS 上設定為檔案共享。 該惡意軟件可以滲透檔案共享,並加密大多數檔案。 備份保留期間屆滿後,IT 團隊才得知感染情況,因此當時的備份僅包含遭加密數據。 該一整體影響,導致以下位置的數據無法存取:
■ 46 個驅動器
■ 1 個聚合訊息
■ RAID-DP 上 1 個被感染磁碟區
如要執行恢復,則須讓聚合訊息離線 — 此舉總共影響了 17 個磁碟區。
方案
客戶將 46 個驅動器帶到我們的新澤西州實驗室,以作評估,而 Ontrack 工程師亦開始着手研究解決方案。
Ontrack 的工程團隊:
■ 以虛擬方式重建散落在 10 個不同層架上的 RAID 組
■ 以虛擬方式重建聚合訊息
■ 以虛擬方式重建關鍵磁碟區
此恢復過程的另一個挑戰,是該聚合訊息在事件發生後兩週內仍被繼續使用,導致若干數據遭受覆蓋。
解決方案
Ontrack 能以虛擬方式重建包含 CIFS 共享和數據遭加密的磁碟區。
Ontrack 工程師利用 NetApp 的專利操作系統 (OnTap) 和檔案系統 (WAFL),並使用多個一致性點,從而「倒流時光」,尋找並合併關鍵數據的未加密副本,以將其交回客戶。 因應數據在磁碟區上的儲存方式,這類型的恢復只能在 NetApp 的 FAS 之類的儲存空間上執行。