Go to Top

Kroll Ontrack und NetApp gemeinsam erfolgreich gegen CryptoLocker

CryptoLocker ist eine der hinterhältigsten Schadsoftwares die derzeit im Umlauf sind. Die Malware verbreitet sich hauptsächlich über E-Mails, die vermeintlich von vertrauenswürdigen Banken abgesendet werden. Durch das Öffnen eines der E-Mail angehängten Dokuments wird der Schadcode aktiviert und CryptoLocker installiert. Dadurch werden interne und externe Speichermedien, USB-Laufwerke und sogar Network-Attached-Storages (NAS) verschlüsselt, so dass auf die Daten nicht mehr zugegriffen werden kann Das Opfer dieser Erpressung hat dann 72 Stunden Zeit das Lösegeld in Form von Bitcoins zu zahlen. Wer sich weigert zu zahlen, verliert dann seine Daten oft dauerhaft.

Dass nicht nur Privatanwender von CryptoLocker betroffen sind, die auf dubiosen Webseiten herumsurfen oder mit ihren persönlichen Daten sorglos umgehen, musste ein Mitarbeiter eines Pharmaunternehmens erfahren. In der Folge wurde nicht nur sein Laptop komplett verschlüsselt, sondern der Schadcode verseuchte auch gleichzeitig nahezu fast alle Daten der über Internet verbundenen Volumes des eingesetzten NetApp FAS Fileservers. Die Kollegen der betroffenen Abteilung konnten ebenfalls nicht mehr auf ihre Daten zugreifen und die Arbeit in der Abteilung kam dadurch komplett zum Erliegen. Erschwerend kam hinzu, dass die IT-Abteilung erst nachdem das neue Backup periodisch erstellt wurde, über die Infektion mit der CryptoLocker-Schadware informiert wurde.

Insgesamt wurden 46 physikalische Festplatten, 1 NetApp-Aggregat (mit 17 Laufwerken) und 1 RAID Double Parity Laufwerk von CryptoLocker infiziert. Das betroffene Unternehmen brachte das infizierte System in das Datenrettungslabor von Kroll Ontrack in New Jersey für eine umfangreiche Analyse und zur anschließenden Datenrettung.

Zunächst wurden die RAID-Gruppen, die zwischen 10 unterschiedlichen Computer-Shelves, dem NetApp Aggregat und dem verseuchten Double Parity Laufwerk aufgeteilt waren, wiederaufgebaut. Bei dieser Arbeit wurde ein zusätzlicher Schaden am NetApp Aggregat entdeckt, der dadurch verursacht wurde, dass es noch zwei Wochen nach der Infektion mit CryptoLocker weiterbetrieben wurde.

Durch die Art und Weise wie das NetApp proprietäre Datensystem WAFL eingerichtet wurde, waren die Dateningenieure in der Lage quasi „zurück in der Zeit zu wandern“ und so die Daten wiederherzustellen. Dabei findet die Datenwiederherstellung bei einem NetApp System auf der Aggregat-Ebene statt. Dabei erstellt das WAFL-Dateisystem alle zehn Sekunden automatisch sogenannte Checkpoints, also Kontrollpunkte. Mehrere dieser Kontrollpunkte wurden von den Ingenieuren identifiziert und zusammengeführt, um dem Unternehmen Zugang zu unverschlüsselten Kopien der Originaldateien zu ermöglichen.

Mit Hilfe des Kroll Ontrack Datenrettungs-Knowhows kombiniert mit den zugrundeliegenden NetApp Technologien und Datenschreibverfahren war es somit möglich den Sieg über CrypoLocker zu erringen, damit den Erpressern Paroli zu bieten und wichtige geschäftskritische Daten vor einem drohenden Verlust zu retten.

Mehr Informationen über die erfolgreiche Datenrettung bei einem von CryptoLocker befallenen NetApp Storage-System bietet auch ein detailliertes einstündiges Video zu diesem Fall (in englischer Sprache). Zugang zum Video erhält man hier:

http://www.krollontrack.com/events/webinars/archives/EventMaterialsPreRequisite/?id=27155&docs=true