Ransomware fortsætter med at være et hedt emne i medieverdenen. Antallet af ofre øges dagligt. Kaspersky melder om en stigning på 18% på verdensplan. Ransomware med kryptering er øget med 25%. Det er ikke underligt at mange eksperter kalder 2016 for “The Ransomware Year”.

Det er ikke kun privatpersoner og virksomheder med dårlige sikkerhedsrutiner der angribes. For nylig har vi reddet data for et stort tysk sygehus.

Mange servere blev inficeret med Locky Ransomware og for at begrænse spredning lukkede it-afdelingen ned for alle serverne. Sådan et tiltag kan få store konsekvenser, hvis der ikke er planer og procedurer for nedlukning af store systemer. Sygehuset endte med at være ikke operativ og panikken var total. Hovedlageret for data var placeret på et Dell EqualLogic PS6500ES med 148 harddiske. Da systemet blev klarmeldt og renset for Ransomware konstareredes det, at 1 LUN med 2 særdeles vigtige Oracle databaser manglede. Hverken sygehusets it-afdeling eller DELLs support team kunne finde de manglende databaser.

Et Dell EqualLogic PS6500ES system er typisk sat op med diskhylder indeholdende flere diske, der igen er sat op i RAID 5 eller RAID 50. På systemet oprettes et eller flere LUNs der fordeles over alle diskgrupperne. Data der lagres på et LUN, er derved fordelt på flere diske. Fordelingen bliver kaldt for fragmentering.

Da vi har analyseret systemet, der består af 7 diskhylder med 148 harddiske finder vi ud af, at LUNet med de manglende databaser, er lagret på 3 diskhylder med 80 harddiske. Analyser viser også korrupt og manglende intern mappestruktur på systemet. Den interne mappestruktur mapper hvilke diskfragtmenter der hører til de enkelte filer, der er lagret på LUNet. Mappestrukturen kan sammenlignes med et filsystem og det er specifikt for den pågældende kontroller, der findes i systemet. Med manglende eller korrupt mappestruktur, er det ikke let at lokalisere eller knytte de fragmenter, der skal til for at rekonstruere de manglende databaser.

Vort udviklingsteam blev sat til at programmere et nyt værktøj der skulle kunne finde mappestrukturen samt den korrupte RAID og LUN adressering. Med dette værktøj lod det sig gøre, at rekonstruere RAID 5 og RAID 50 opsætningen og derved kunne LUNet synliggøres. På LUNet var der en virtuel disk (vmdk fil), med en NTFS partition, der indeholdt de 2 Oracle databaser. Derfor skulle yderligere 2 lag rekonstrueres førend databaserne kunne kopieres ud. Efterfølgende fik it-afdelingen systemerne i luften igen og derved blev sygehuset fuldt operationelt igen.