从勒索软件中救出的医院数据库

2020年2月20日,下午16:24
客户:

“ Locky”病毒的勒索软件攻击对一家大型德国医院产生了严重影响。

 许多医院服务器被病毒瘫痪,限制了操作。未受感染的服务器在紧急情况下受到影响,仍可以正常运行,但已关闭电源。在非常复杂的虚拟存储系统中,不正确的电源关闭会导致意外的问题。 Dell EqualLogic PS6500ES存储阵列就是这种情况,总共有148个专业级100 GB硬盘。由于医院的IT人员和Dell的技术支持无法解决此问题,因此邀请了一名专家就位。 所有硬盘均发送到德国数据恢复实验室,并在其中进行评估。

Dell EqualLogic PS6500ES系统通常包含位于16或48个硬盘架上的多个硬盘,并且相互连接以形成RAID 5或RAID 50系统(子阵列)。然后将这些子阵列连接到“成员”。一个或多个成员属于一个逻辑单元(组)。创建LUN,将其存储在组中,然后分段并分布在所有成员和子阵列中。随着地图的相对增长,它们被地图“跟踪”并传递给成员或各种子数组。 在这种情况下,我们的专家在七个带有148个硬盘的架子中找到了三个带有80个硬盘的架子,包括需要Oracle数据库的LUN。但是,事实证明,放置碎片是一项艰巨的任务,因为数据碎片(分布在所有硬盘上)的许多链接(映射)已损坏或无法使用。 EqualLogic PS系统映射还使用特定的逻辑进行编码,因此链接不容易找到。

为了映射链接,其他在轨办公室的专业工程师已经开发了新的软件工具,专门用于解决与RAID和LUN映射有关的逻辑和损坏问题。

使用新工具,工程师能够重新创建RAID 5和RAID 50系统,甚至查看LUN。该LUN内部是一个虚拟硬盘(VMDK文件),带有一个隐藏的NTFS文件系统和两个Oracle数据库。在最终导出这些数据库之前,必须在LUN中识别并恢复两个文件层。

多个在轨办公室的数据恢复工程师团队最终能够成功提取并恢复所需的数据库,并通过快递将数据发送给客户端。

 医院对将支持从戴尔转移到Ontrack感到非常满意,最终所有重要数据再次可用。此外,为该项目开发的工具可在Dell EqualLogic PS阵列系统的未来数据恢复案例中再次使用,从而大大减少了未来的数据恢复时间。

载入更多评论
感谢您的评论!您的评论必须先获得批准


安全码