Kroll 步入正轨和NetApp共同成功对抗Cryptolocker

2015年8月25日 通过 迈克尔·尼西奇

什么是密码锁?

Cryptolocker是当前流行的最隐蔽的恶意软件类型之一。该恶意软件主要通过据称由受信任的银行发送的电子邮件进行传播。通过打开电子邮件附带的文档,恶意代码被激活并安装了Cryptolocker。这会导致内部和外部存储介质,USB驱动器甚至网络连接存储(NAS)设备被加密 这样就无法再访问数据。然后,这种勒索的受害者有72个小时使用比特币支付赎金。那些拒绝付款的人常常会永远丢失他们的数据。

没有人是安全的

制药公司的员工发现,不仅私人用户会在可疑网站上冲浪或粗心地浏览个人数据,还会受到Cryptolocker的影响。结果,不仅他的笔记本电脑被完全加密,而且恶意代码几乎同时感染了几乎所有使用NetApp FAS文件服务器的Internet连接卷。有关部门的同事也无法访问他们的数据,该部门的工作完全陷入停顿。更糟糕的是,仅在创建新的定期备份之后,IT部门才被告知Cryptolocker恶意软件已被感染。

Cryptolocker总共感染了46个物理硬盘驱动器,1个NetApp聚合(带有17个驱动器)和1个RAID Double Parity Drive。有关公司将受感染的系统带到了Ontrack‘位于新泽西州的数据恢复实验室,用于全面分析和后续数据恢复。

首先,重建了分布在10个不同计算机机架中的RAID组,NetApp聚合和受污染的Double Parity驱动器。在此任务期间,发现NetApp聚合受到了额外的损害,这是由于它在被Cryptolocker感染后继续运行了两周而造成的。

由于NetApp WAFL专有数据系统的设置方式,数据工程师几乎可以“to go back in time”并恢复数据。在NetApp系统中,数据恢复发生在聚合级别。 WAFL文件系统每十秒钟自动创建一个所谓的检查点。工程师确定了这些检查点中的几个并进行了组合,以使公司能够访问原始文件的未加密副本。

借助我们的数据恢复专业知识以及底层的NetApp技术和数据写入方法,可以战胜Cryptolocker,抵御敲诈勒索并节省重要的业务关键数据,以防即将发生的损失。

有关在受Cryptolocker感染的NetApp存储系统上成功恢复数据的更多信息, 包含有关此案的详细一小时视频.