Situationen
En ransomware-attack med "Locky"-viruset fick allvarliga effekter för ett stort sjukhus.
Många servrar på sjukhuset lamslogs av viruset, vilket begränsade verksamheten. Oinfekterade servrar påverkades under paniken när deras strömförsörjning kopplades bort medan de fortfarande var i drift. I mycket komplexa virtualiserade lagringssystem kan en felaktig avstängning av strömmen leda till oväntade problem. Detta var fallet för en Dell EqualLogic PS6500ES-lagringsenhet med totalt 148 professionella 100-gigabyte-hårddiskar. Efter att sjukhusets IT-personal och Dells tekniska support inte kunde lösa problemet kallades specialisterna på Ontrack in för att hjälpa till. Alla hårddiskar levererades till dataräddningslabbet i Tyskland där de undersöktes.
Dell EqualLogic PS6500ES-systemet innehåller vanligtvis flera hårddiskar som är placerade på 16 eller 48 hårddiskhyllor och är anslutna till varandra för att bilda RAID 5- eller RAID 50-system (subarrays). Dessa subarrayer är i sin tur anslutna till "medlemmar", där en eller flera medlemmar tillhör en logisk enhet (en grupp). LUN:er skapas och lagras i gruppen och fragmenteras sedan och fördelas över alla medlemmar och subarrayer. De "spåras" av en karta, som i sin tur distribuerar sig själv till medlemmarna eller till de olika subarrays när den blir proportionellt stor. I det här fallet upptäckte våra specialister att av de sju hyllorna med 148 hårddiskar innehöll tre hyllor med 80 hårddiskar det LUN med Oracle-databaserna som behövdes. Många av länkarna (mappningarna) till datafragmenten (som var fördelade över alla hårddiskar) var dock antingen skadade eller inte längre tillgängliga, så det visade sig vara en mycket svår uppgift att ordna fragmenten. Mappningen av ett EqualLogic PS-system är också kodad enligt en specifik logik, så länkarna här är inte heller lätta att hitta.
Lösningen
För att kartlägga länkarna utvecklade specialiserade ingenjörer från andra Ontrack-kontor nya programvaruverktyg för att specifikt lösa logikproblemen i RAID och LUN-mappningen.
Med hjälp av de nya verktygen kunde teknikerna återskapa RAID 5- och RAID 50-systemen samt finna LUN:et. I detta LUN fanns en virtuell hårddisk (en VMDK-fil), i vilken ett NTFS-filsystem med två Oracle-databaser var lagrat. Två filskikt måste identifieras och återställas i LUN:et innan dessa databaser slutligen kunde räddas.
Upplösningen
Teamet med dataräddare från flera Ontrack-kontor kunde till slut framgångsrikt extrahera och återställa de nödvändiga databaserna och skicka data med kurir till kunden.
Sjukhuset var mycket nöjda med medlingsstödet från Dell till Ontrack och det faktum att de äntligen hade alla sina viktiga data tillgängliga igen. Dessutom kan de verktyg som utvecklats för det här projektet användas igen i kommande fall av dataåterställning av Dell EqualLogic PS Array-system, vilket avsevärt minskar framtida dataåterställningstider.