Résolution d’un ransomware à l’aide d’une technologie NetApp

Written By: Ontrack

Date Published: 20/02/20 00:00

Résolution d’un ransomware à l’aide d’une technologie NetApp

Situation

L'ordinateur portable d'un employé d'une grande entreprise pharmaceutique a été infecté par le ransomware CryptoLocker.

Ce logiciel malveillant chiffre les fichiers de l'utilisateur et retient la clé de chiffrement jusqu'à ce que vous payiez le montant de la rançon. L'ordinateur portable était connecté au réseau de l'entreprise, ce qui a permis au logiciel malveillant d'infecter un volume CIFS configuré en tant que partage de fichiers sur un NetApp FAS. Le logiciel malveillant a pu s'infiltrer dans le partage de fichiers et chiffrer la majorité des fichiers. L'équipe IT n'a été informée de l'infection qu'après l'expiration de la période de rétention de la sauvegarde, ce qui signifie que la sauvegarde ne contenait, elle aussi, que des données chiffrées. L'impact total a abouti à des données inaccessibles sur :

  • 46 lecteurs,
  • 1 agrégat,
  • 1 volume infecté sur un RAID-DP.

Solution

Pour effectuer la restauration, l'agrégat a du être mis hors ligne, ce qui affectait 17 volumes au total. Le client a donc apporté ses 46 disques dans notre laboratoire du New Jersey pour évaluation. Les ingénieurs Ontrack ont ​​ensuite :

  • reconstruit virtuellement les groupes RAID éparpillés sur 10 étagères différentes,
  • reconstruit virtuellement l'agrégat,
  • reconstruit virtuellement le volume critique.

Un autre défi de cette récupération était que l'agrégat a été utilisé pendant 2 semaines après l'incident, ce qui a entraîné l'écrasement de certaines données. Ontrack a malgré tout pu reconstruire virtuellement le volume contenant le partage CIFS et les données chiffrées.

Résolution

Tirant parti du système d'exploitation (OnTap) et du système de fichiers (WAFL) propriétaires de NetApp, les ingénieurs d'Ontrack ont ​​utilisé plusieurs points de cohérence pour "remonter" dans le temps pour trouver et fusionner des copies non chiffrées des données critiques du client. Ce type de restauration n'est possible que sur un stockage tel que le FAS de NetApp en raison de la manière dont les données sont stockées sur le volume.

Ransomware recovery service

Newsletter

KLDiscovery Ontrack Sarl, 2, impasse de la Noisette, 91370 Verrières-le-Buisson, France (voir tous nos bureaux)