Sjukhus räddat efter ransomwareattack

Situationen

En ransomwareattack med "Locky"-viruset fick allvarliga effekter för ett stort sjukhus.

Många servrar på sjukhuset lamslogs av ransomwareattacken och verksamheten påverkades påtagligt. Även servrar som inte attackerats blev otillgängliga under paniken när deras strömmen slogs av till alla servrar medan de fortfarande var i drift. I virtualiserade lagringssystem kan en felaktig avstängning av strömmen leda till oväntade problem. Detta var fallet för en Dell EqualLogic PS6500ES-lagringsenhet med totalt 148 hårddiskar på 100 GB vardera. Efter att sjukhusets IT-personal och Dells tekniska support inte kunde lösa problemet kallades specialisterna på Ibas Ontrack in för att hjälpa till. Alla hårddiskar levererades till ett av våra dataräddningslabb där de först analyserades för att fastställa omfattningen på problemen och för att svara på om data kunde räddas från dem.

Dell EqualLogic PS6500ES-systemet innehåller vanligtvis flera hårddiskar som är placerade på 16 eller 48 "diskhyllor" och är anslutna till varandra för att bilda RAID 5- eller RAID 50-system (subarrays). Dessa subarrayer är i sin tur anslutna till "medlemmar", där en eller flera medlemmar tillhör en logisk enhet (en grupp). LUN:er skapas och lagras i gruppen och fragmenteras sedan och fördelas över alla medlemmar och subarrayer. De "spåras" av en karta, som i sin tur distribuerar sig själv till medlemmarna eller till olika subarrays när den blir proportionellt stor. I det här fallet upptäckte våra specialister att av de sju hyllorna med 148 hårddiskar innehöll tre hyllor med 80 hårddiskar och det LUN med Oracle-databaserna som behövdes. Många av länkarna (mappningarna) till datafragmenten (som var fördelade över alla hårddiskar) var dock antingen skadade eller inte längre tillgängliga, så det visade sig vara en mycket svår uppgift att rädda innehållet. Mappningen av ett EqualLogic PS-system är kodad enligt en specifik logik, så det är ett avancerat arbete att återställa den.

Lösningen

För att kartlägga länkarna krävdes vidareutveckling av våra verktyg och detta görs av särskilda specialister som andast jobbar med utveckling. Nu gällde det att skapa lösningar för att klara av logikproblemen i RAID och LUN-mappningen.

Med hjälp av de nya verktygen kunde vi återskapa RAID 5- och RAID 50-systemen samt finna LUN:et. I detta LUN fanns en virtuell hårddisk (en VMDK-fil), i vilken ett NTFS-filsystem med två Oracle-databaser var lagrat. Två filskikt måste identifieras och återställas i LUN:et innan dessa databaser slutligen kunde räddas.

Sammanfattning

Teamet med dataräddare från flera Ibas Ontrack-kontor kunde till slut extrahera och rädda de nödvändiga databaserna och returnera det med kurir till kunden.

Sjukhuset var mycket nöjda med samarbetet med Ibas Ontrack och det faktum att de äntligen hade alla sina viktiga data tillgängliga igen. Dessutom kan de verktyg som utvecklats för det här projektet användas igen i kommande dataräddningar från Dell EqualLogic PS Array-system, vilket naturligtvis underlättar för alla parter.

Share Print Page

Enhetstyp

Lösningstyp

Industrityp

Data Recovery

Bandtjänster

Datadestruktion

Andra Tjänster

Ontrack EasyRecovery

Ontrack PowerControls

Raderings Software

Raderings Hardware

Ontrack Partner

Teknikpartners

Teknikpartners