Krankenhaus Datenbank vor Ransomware gerettet

Die Situation

Ein Ransomware-Angriff mit dem "Locky"-Virus hatte schwerwiegende Auswirkungen für ein großes deutsches Krankenhaus.

Viele Server des Krankenhauses wurden durch den Virus lahmgelegt, wodurch der Betrieb eingeschränkt wurde. Nicht infizierte Server wurden während der Panik in Mitleidenschaft gezogen, als ihre Stromzufuhr unterbrochen wurde, während sie noch in Betrieb waren. Bei hochkomplexen virtualisierten Speichersystemen kann eine unsachgemäße Stromabschaltung zu unerwarteten Problemen führen. Dies war der Fall bei einem Dell EqualLogic PS6500ES Speicher-Array mit insgesamt 148 professionellen 100-Gigabyte-Festplatten. Nachdem die IT-Mitarbeiter des Krankenhauses und der technische Support von Dell das Problem nicht lösen konnten, wurden die Spezialisten von Ontrack zu Hilfe gerufen. Alle Laufwerke wurden an das Datenrettungslabor in Deutschland geliefert, wo sie bewertet wurden.

Das Dell EqualLogic PS6500ES-System enthält in der Regel mehrere Festplatten, die auf 16 oder 48 Festplattenfächern angeordnet und zu RAID-5- oder RAID-50-Systemen (Sub-Arrays) zusammengeschlossen sind. Diese Sub-Arrays sind wiederum mit "Mitgliedern" verbunden, wobei ein oder mehrere Mitglieder zu einer logischen Einheit (einer Gruppe) gehören. LUNs werden erstellt und in der Gruppe gespeichert, dann fragmentiert und auf alle Mitglieder und Sub-Arrays verteilt. Sie werden von einer Karte "verfolgt", die sich ihrerseits auf die Mitglieder oder auf die verschiedenen Sub-Arrays verteilt, wenn sie verhältnismäßig groß wird. In diesem Fall stellten unsere Spezialisten fest, dass von den sieben Shelves mit 148 Festplatten drei Shelves mit 80 Festplatten die LUN mit den benötigten Oracle-Datenbanken enthielten. Allerdings waren viele der Links (Mappings) der Datenfragmente (die über alle Festplatten verteilt waren) entweder beschädigt oder nicht mehr verfügbar, so dass sich die Anordnung der Fragmente als sehr schwierig erwies. Das Mapping eines EqualLogic PS-Systems ist zudem in einer spezifischen Logik kodiert, so dass auch hier die Links nicht einfach zu finden sind.

Die Lösung

Um die Links abzubilden, entwickelten Fachingenieure aus anderen Ontrack-Niederlassungen neue Software-Tools, die speziell die Logik- und Korruptionsprobleme in Bezug auf das RAID und die LUN-Zuordnung lösen.

Mit Hilfe der neuen Tools waren die Ingenieure in der Lage, die RAID 5- und RAID 50-Systeme neu zu erstellen sowie die LUN anzuzeigen. Innerhalb dieser LUN befand sich eine virtuelle Festplatte (eine VMDK-Datei), in der ein NTFS-Dateisystem mit zwei Oracle-Datenbanken versteckt war. Zwei Dateiebenen mussten innerhalb der LUN identifiziert und wiederhergestellt werden, bevor diese Datenbanken endgültig exportiert werden konnten.

Das Ergebnis

Das Team von Datenrettungstechnikern aus mehreren Ontrack-Niederlassungen konnte schließlich die benötigten Datenbanken erfolgreich extrahieren und wiederherstellen und die Daten per Kurier an den Kunden senden.

Das Krankenhaus war sehr zufrieden mit der Vermittlungsunterstützung von Dell an Ontrack und der Tatsache, dass sie endlich wieder alle wichtigen Daten zur Verfügung hatten. Darüber hinaus können die für dieses Projekt entwickelten Tools bei kommenden Datenwiederherstellungsfällen von Dell EqualLogic PS Array-Systemen erneut eingesetzt werden, wodurch sich die Datenwiederherstellungszeiten in Zukunft erheblich verkürzen werden.

Share Print Page

Nach Gerät

Nach Lösung

Nach Branchen

Datenrettung

Banddienste

Datenvernichtung

Andere Dienstleistungen

Ontrack EasyRecovery

Ontrack PowerControls

Software zur Datenlöschung

Hardware zur Datenlöschung

Ontrack Datenrettungs-Abo

Ontrack Partner

Technologie-Partner

Technologie-Partner