Lo Scenario
Il malware che ha colpito il nostro Cliente, crittografa i file dell'utente e trattiene la chiave di crittografia fino a quando non viene pagato l’importo del riscatto.
Il laptop era connesso alla rete aziendale il che ha consentito al malware di infettare un volume CIFS impostato come condivisione di file su un NetApp FAS.
Il malware è stato in grado di infiltrarsi nella condivisione di file e crittografare la maggior parte dei dati. L'IT non è stato informato dell'attacco fino alla scadenza del periodo di conservazione del backup, il che significa che la copia di backup conteneva solo dati crittografati.
L'impatto totale ha provocato dati inaccessibili su:
- 46 unità
- 1aggregato
- 1 volume infetto su un RAID-DP
Per eseguire il ripristino, l'aggregato doveva essere portato offline, il che coinvolgeva 17 volumi in totale.
La Soluzione
Il cliente ha portato le sue 46 unità nel nostro laboratorio nel New Jersey per essere valutato dai nostri ingegneri e Ontrack si sono messi al lavoro per trovare una soluzione.
Il team di ingegneri di Ontrack ha:
- ricostruito virtualmente i gruppi RAID che erano sparsi su 10 diversi livelli
- ricostruito virtualmente l'aggregato
- ricostruito virtualmente il volume critico
Un'ulteriore sfida in questo recupero era il fatto che l'aggregato era rimasto in uso per due settimane dopo l'incidente e questo aveva provocato la sovrascrittura di alcuni dati.
Il Risultato
Ontrack è stata in grado di ricostruire virtualmente il volume contenente il file di condivisione CIFS e i dati crittografati.
Sfruttando il sistema operativo proprietario di NetApp (OnTap) e il file system (WAFL), gli ingegneri di Ontrack hanno utilizzato più punti per "tornare indietro" nel tempo per trovare e unire le copie di dati non crittografati da restituire al cliente.
Questo tipo di recupero è possibile solo sullo storage come FAS di NetApp a causa del modo in cui i dati vengono archiviati nel volume.