Go to Top

Wichtige Krankenhaus-Datenbanken nach Ransomware Attacke gerettet

Ransomware

Kaum ein Thema, über das so häufig in den Medien gesprochen wird, wie das Thema Ransomware. Denn die Zahl der Angriffe mit Erpressungs-Computer-Viren hat in diesem Jahr explosionsartig zugenommen. Laut dem Internetsicherheitsanbieter Kaspersky stieg zwischen April 2015 und März 2016 die Gesamtzahl von Nutzern, die Opfer einer Attacke wurden um fast 18 Prozent. Bemerkenswert ist zudem, dass Ransomware-Viren, die Verschlüsselungstechniken verwenden, dabei um 25 Prozent gestiegen sind. Aus diesen Gründen sprechen einige Experten bereits von 2016 als dem „Ransomware-Jahr“. Und so nimmt es auch kein Wunder, dass neben vielen Privatpersonen und Firmen jetzt auch Behörden oder notwendige Infrastruktur-Einrichtungen von Kriminellen angegriffen werden.

In diesem konkreten Fall hatte es ein großes deutsches Krankenhaus getroffen. Die Ransomware-Attacke mit einem Locky-Virus hatte dabei heftige Auswirkungen: Nicht nur wurden viele Server von dem Virus lahmgelegt auch der Krankenhaus-Betrieb war nur noch eingeschränkt möglich. Es wurden auch vermeintlich nicht infizierte Server in Mitleidenschaft gezogen, weil diese in großer Panik und im laufenden Betrieb von der Stromversorgung getrennt wurden. Das Problem dabei: Gerade bei hochkomplexen virtualisierten Storage-Systemen kann es in Folge eines Power-Shutdowns zu unerwarteten Problemen kommen.

So auch bei einem Dell EqualLogic PS6500ES Storage-Array mit insgesamt hundertachtundvierzig 100-Gigabyte Festplatten. Beim erneuten Anfahren des Arrays stellten die Mitarbeiter fest, dass eine LUN mit zwei wichtigen Oracle-Datenbanken nicht mehr vom System angezeigt wurde und somit nicht mehr verfügbar war. Nachdem weder die IT-Mitarbeiter des Krankenhauses noch der Dell Support das Problem lösen konnten, kamen die Spezialisten von Kroll Ontrack ins Spiel.

Ein Dell EqualLogic PS6500ES System beinhaltet mehrere Festplatten, in der Regel 16 oder 48 HDD Shelves, die zu RAID 5 bzw. RAID 50 Systemen (Sub-Arrays) zusammengeschaltet werden. Angelegte LUNs werden durch das System erzeugt und sind fragmentiert, also über alle Sub-Arrays verteilt. Hier zeigte sich, dass von den 7 Shelves mit hundertachtundvierzig Festplatten 3 Shelves mit 80 Festplatten die gesuchte LUN mit den Oracle-Datenbanken enthielten. Allerdings waren viele der Verknüpfungen (Mappings), der – über die gesamten Platten verteilten – Datenfragmente entweder korrumpiert oder nicht mehr verfügbar, sodass das Zuweisen der Fragmente sich sehr schwierig gestaltete. Das Mapping bei einem EqualLogic PS System ist zudem in einer speziellen Logik kodiert, sodass hier die Verknüpfungen nicht einfach zu finden sind.

Um die Mapping-Verknüpfungen herauszufinden, wurden nicht nur weitere Kroll Ontrack Spezialisten aus den USA an dem Projekt beteiligt, sondern auch eigens neue Softwarewerkzeuge entwickelt, die letztlich das Verknüpfungs- und die Korrumpierungsprobleme sowohl bei der RAID- als auch bei der LUN-Adressierung lösen sollten. Mit Hilfe der neuen Tools waren die Experten schließlich in der Lage die RAID 5 und RAID 50 Systeme korrekt nachzubauen und das LUN anzuzeigen. Innerhalb dieser LUN lag dann eine virtuelle HDD – also eine VMDK Datei – die wiederum in ihrem NTFS-Dateisystem zwei Oracle-Datenbanken beinhaltete. Es mussten also noch zwei Dateischichten innerhalb der LUN identifiziert und wiederhergestellt werden, bevor die Datenbanken exportiert werden konnten.

Am Ende waren die beteiligten Datenrettungsingenieure aus Deutschland und den USA in der Lage sowohl die gesuchte als auch die umfangreichere zweite Oracle-Datenbank erfolgreich zu extrahieren, wiederherzustellen und dem Kunden per Kurier zur Verfügung zu stellen. Mit den Daten von Kroll Ontrack konnte schließlich das Dell System von den IT-Mitarbeitern „gefüttert“ und wieder in den Originalzustand gebracht werden, sodass die wichtigen Krankenhausdaten wieder verfügbar waren.

Dieses Datenrettungsprojekt zeigt sehr deutlich, dass man bei einer Ransomware-Attacke genau wissen muss, wie man sich zu verhalten hat! Aus diesem Grund rät Kroll Ontrack Unternehmen, seine Desaster Recovery und Business Continuity Pläne auf die jeweilige Server- und Storage-Infrastruktur und auf Ransomware-Attacken anzupassen. Denn wie dieser Fall anschaulich zeigt, ist der Tipp,  schnellstmöglich das System vom Netz zu nehmen, hier allzu wörtlich genommen worden und hätte ohne die Hilfe von Kroll Ontrack schließlich beinahe zu einem Totalverlust der Datenbanken geführt. Und wenn bereits eine Infektion durch Ransomware stattgefunden hat, ist es ebenfalls immer eine kluge Entscheidung sich gleich an einen Datenrettungsspezialisten wie Kroll Ontrack zu wenden, um professionelle Hilfe zu bekommen.

Bildnachweis: by-sassi/pixelio.de