De klant
Een groot farmaceutisch bedrijf
De uitdaging
De laptop van een enkele gebruiker was geïnfecteerd met CryptoLocker-ransomware. Deze malware versleutelt de bestanden van de gebruiker en houdt de coderingssleutel achter totdat je het losgeld hebt betaald. De laptop was verbonden met het bedrijfsnetwerk waardoor de malware een CIFS-volume kon infecteren dat was ingesteld als een file share op een NetApp FAS. De malware kon de file share infiltreren en de meeste bestanden versleutelen. Het IT-team werd pas op de hoogte gebracht van de infectie nadat de bewaartermijn van de back-up was verstreken, wat betekent dat de back-up alleen gecodeerde gegevens bevatte. De totale impact resulteerde in ontoegankelijke gegevens op:
- 46 schijven
- 1 aggregate
- 1 volume geïnfecteerd op een RAID-DP
Om het herstel uit te voeren, moest het aggregaat offline worden gehaald, wat in totaal 17 volumes betrof.
De oplossing
De klant bracht zijn 46 schijven naar ons laboratorium in New Jersey voor evaluatie en de ingenieurs van Ontrack gingen aan de slag met een oplossing. Wat we hebben gedaan:
- De RAID-groepen die verspreid waren over 10 verschillende shelves zijn virtueel herbouwd
- Het aggregaat virtueel herbouwd
- Het kritieke volume virtueel herbouwd
Een extra uitdaging bij dit herstel was dat het aggregaat twee weken in gebruik was nadat het incident zich had voorgedaan, waardoor sommige gegevens werden overschreven.
Het resultaat
Ontrack was in staat om het volume met de CIFS-share en gecodeerde gegevens virtueel opnieuw op te bouwen. Door gebruik te maken van NetApp's eigen besturingssysteem (OnTap) en bestandssysteem (WAFL), gebruikten Ontrack-technici meerdere consistentiepunten om terug te gaan in de tijd om niet-versleutelde kopieën te vinden en samen te voegen. de kritieke gegevens konden hierdoor terugkeren naar de klant. Dit type herstel is alleen mogelijk op opslag zoals NetApp's FAS vanwege de manier waarop de gegevens op het volume worden opgeslagen.
Meer over
Ransomware recovery
of
Neem contact op