從勒索軟件拯救出醫院資料庫。

十一月 24, 2020, 05:39 上午
客戶:
一宗使用「Locky」病毒的勒索軟件攻擊, 對一間大型德國醫院造成嚴重影響。醫院裡的許多伺服器被病毒癱瘓,限制了操作。此期間,未受到感染的伺服器仍在運行,但由於電源中斷而受到影響。在高度複雜的虛擬儲存系統中,若未以正確的方式中斷電源,可能會導致發生意外的問題。

Dell EqualLogic PS6500ES 儲存陣列的情況就是如此,它總共有 148 個專業級 100 GB 硬碟。在醫院的 IT 人員與 Dell 技術支援都束手無策之際,Ontrack 的專家們被請來幫忙。所有的硬碟都送到位於德國的數據復原實驗室進行評估。Dell EqualLogic PS6500ES 系統通常包含多個硬碟,排列在 16 或 48 個硬碟架上,並連接在一起形成 RAID 5 或 RAID 50 系統 (子陣列)。然後這些子陣列會連接到「成員」,其中一或多個成員屬於一個邏輯單元 (羣組)。LUN 則建立並儲存在羣組中,然後分割並分散到所有成員和子陣列。它們由一個映射「追蹤」,當映射依比例變大時,便會將自己分配給成員或各個子陣列。在這個案例中,我們的專家發現七個硬碟架中共有 148 個硬碟,其中三個硬碟架共 80 個硬碟中包含 LUN 和所需的 Oracle 資料庫。然而,數據分割 (分散在所有硬碟上) 的許多連結 (映射) 不是已經損壞,就是無法再使用,因此整理這些分割, 顯然是一項非常困難的任務。此外,EqualLogic PS 系統的映射以特定的邏輯編碼,因此這裡的連結也不容易找到。
為了映射連結,來自其他 Ontrack 辦公室的專業工程師開發出新的軟件工具,專門解決關於 RAID 和 LUN 映射的邏輯和損壞問題。在新工具的幫助下,工程師得以重新建立 RAID 5 和 RAID 50 系統,並顯示 LUN。

他們在這個 LUN 找到一個虛擬硬碟 (VMDK 檔),其中藏著一個包含兩個 Oracle 資料庫的 NTFS 檔案系統。
必須在 LUN 中找出並復原兩個檔案層,才能匯出這些資料庫。
來自數個 Ontrack 辦公室的數據復原工程師團隊, 最終成功地擷取並復原了重要的資料庫,並以快遞將數據寄送給客戶。

醫院對於 Dell 向 Ontrack 協調的支援,以及最終重獲所有重要數據感到十分滿意。此外,為這個專案所開發的工具還可以應用在未來的 Dell EqualLogic PS 陣列系統的資料復原作業之上,大幅縮短了將來的資料復原時間。

Load more comments
Thank you for the comment! Your comment must be approved first


新代碼