Go to Top

NetApp et Kroll Ontrack contre le ransomware CryptoLocker

Cryptolocker

La bataille commence dans une grande entreprise pharmaceutique où un ordinateur portable est infecté par le ransomware CryptoLocker, un logiciel malveillant qui chiffre les fichiers et conserve la clé jusqu’à ce que l’utilisateur paye le montant de la rançon.

Une fois l’ordinateur connecté au réseau de l’entreprise, il avait accès à un volume CIFS présenté sous la forme d’un partage de fichiers sur un système FAS NetApp. Le virus a ainsi pu infiltrer le partage de fichiers et chiffrer la majorité des fichiers. Cette infection a eu un impact sur tout le département de l’utilisateur, ce qui a paralysé toutes les opérations quotidiennes… L’équipe informatique du client n’a été informée de cette infection par CryptoLocker qu’après l’expiration de la période de rétention de sauvegarde.

Les dégâts s’élevaient à :

  • 46 lecteurs,
  • 1 agrégat (nécessaire pour être désactivé ce qui a affecté 17 volumes),
  • 1 volume infecté sur un RAID DP.

Kroll Ontrack rentre dans la partie

Le client a amené l’ensemble des supports contaminés pour évaluation dans le laboratoire Kroll Ontrack situé dans le New Jersey.  Nos ingénieurs se sont alors équipés et ont commencé à travailler sur une solution. Ils ont reconstitué les groupes RAID codifiés à travers 10 rayonnages différents, l’agrégat et le volume critique. Des dommages supplémentaires ont été trouvés sur l’agrégat lorsque nous avons découvert qu’il avait été utilisé dans les deux semaines ayant suivi l’infection et que les données avaient été écrasées.

 

Lire aussi :
Ransomware : la prise en otage de vos données

 

L’arme secrète de NetApp

En raison de la manière dont WAFL, le système de fichiers propriétaire de NetApp, est installé, les ingénieurs Kroll Ontrack ont été capables de « revenir dans le temps » et de récupérer les données. La récupération de données sur les systèmes de NetApp a lieu au niveau de l’agrégat. Étant donné que WAFL crée des points de contrôle toutes les 10 secondes, nos ingénieurs ont été capables d’identifier des points de contrôle multiples et de fusionner les données pour fournir au client un accès à des copies non chiffrées de leurs données originales.

Les (données) otages sont libérées

Grâce à l’expertise de Kroll Ontrack en récupération de données combinée à la technologie de NetApp nous avons pu récupérer les copies non chiffrées des données et les rendre à notre client. Victoire !

Les ingénieurs Kroll Ontrack ont depuis fait équipe avec NetApp pour discuter de cette affaire mais également de la protection et de la récupération de données sur les supports NetApp.

Laisser un commentaire