Sverige | Svensk Lokationer

018 84 36 203 Påbörja Din Dataräddning
018 84 36 203
018 84 36 203
Påbörja Din Dataräddning

Sjukhusdatabaser räddade från utpressningstrojaner.

Written By: Ontrack

Date Published: den 20 augusti 2024 07:41:47 EDT

Sjukhusdatabaser räddade från utpressningstrojaner.

Arrow Left Tillbaka till listningen

Situationen

En ransomware-attack med "Locky"-viruset fick allvarliga effekter för ett stort sjukhus.
 
Många servrar på sjukhuset lamslogs av viruset, vilket begränsade verksamheten. Oinfekterade servrar påverkades under paniken när deras strömförsörjning kopplades bort medan de fortfarande var i drift. I mycket komplexa virtualiserade lagringssystem kan en felaktig avstängning av strömmen leda till oväntade problem. Detta var fallet för en Dell EqualLogic PS6500ES-lagringsenhet med totalt 148 professionella 100-gigabyte-hårddiskar. Efter att sjukhusets IT-personal och Dells tekniska support inte kunde lösa problemet kallades specialisterna på Ontrack in för att hjälpa till. Alla hårddiskar levererades till dataräddningslabbet i Tyskland där de undersöktes.
 
Dell EqualLogic PS6500ES-systemet innehåller vanligtvis flera hårddiskar som är placerade på 16 eller 48 hårddiskhyllor och är anslutna till varandra för att bilda RAID 5- eller RAID 50-system (subarrays). Dessa subarrayer är i sin tur anslutna till "medlemmar", där en eller flera medlemmar tillhör en logisk enhet (en grupp). LUN:er skapas och lagras i gruppen och fragmenteras sedan och fördelas över alla medlemmar och subarrayer. De "spåras" av en karta, som i sin tur distribuerar sig själv till medlemmarna eller till de olika subarrays när den blir proportionellt stor. I det här fallet upptäckte våra specialister att av de sju hyllorna med 148 hårddiskar innehöll tre hyllor med 80 hårddiskar det LUN med Oracle-databaserna som behövdes. Många av länkarna (mappningarna) till datafragmenten (som var fördelade över alla hårddiskar) var dock antingen skadade eller inte längre tillgängliga, så det visade sig vara en mycket svår uppgift att ordna fragmenten. Mappningen av ett EqualLogic PS-system är också kodad enligt en specifik logik, så länkarna här är inte heller lätta att hitta.

Lösningen

För att kartlägga länkarna utvecklade specialiserade ingenjörer från andra Ontrack-kontor nya programvaruverktyg för att specifikt lösa logikproblemen i RAID och LUN-mappningen.
 
Med hjälp av de nya verktygen kunde teknikerna återskapa RAID 5- och RAID 50-systemen samt finna LUN:et. I detta LUN fanns en virtuell hårddisk (en VMDK-fil), i vilken ett NTFS-filsystem med två Oracle-databaser var lagrat. Två filskikt måste identifieras och återställas i LUN:et innan dessa databaser slutligen kunde räddas.

Upplösningen

Teamet med dataräddare från flera Ontrack-kontor kunde till slut framgångsrikt extrahera och återställa de nödvändiga databaserna och skicka data med kurir till kunden.
 
Sjukhuset var mycket nöjda med medlingsstödet från Dell till Ontrack och det faktum att de äntligen hade alla sina viktiga data tillgängliga igen. Dessutom kan de verktyg som utvecklats för det här projektet användas igen i kommande fall av dataåterställning av Dell EqualLogic PS Array-system, vilket avsevärt minskar framtida dataåterställningstider.

Prenumerera på vårt nyhetsbrev

Relaterade Ämnen

Samarbete med EMC skapar nya verktyg för återställning av 10 TB data.

Accidental wipe command brings down critical production database server.

Ransomware Attack on Server and Backup Tapes Erased
Tjänster
Produkter
Resurser
Om Ibas Ontrack

Ibas Ontrack AB, Bangårdsgatan 13, 75 320 Uppsala, Sverige (Se alla adresser)

© 2024 KLDiscovery Ontrack - All Rights Reserved.