Näin pelastimme sairaalan rikollisten kiristysyritykseltä

maanantai 16. tammikuuta 2017 - Jyri Pohja

Ransomware-haittaohjelmat ovat tänä päivänä kuuma puheenaihe mediassa. Haittaohjelman kohteeksi joutuu yhä useampi. Esimerkiksi Norjassa ransomware on levinnyt räjähdysmäisesti.

Kaspersky:n mukaan saastuneiden laitteiden määrä on kasvanut viime vuonna 18 %:lla. Tiedostoja salaavien haittaohjelmien määrä on puolestaan kasvanut neljäsosalla. Vuotta 2016 voidaankin perustellusti kutsua ransomware-vuodeksi.

Ransomware-kiristysohjelman kohteeksi eivät joudu ainoastaan yritykset ja yksityishenkilöt, vaan myös julkiset organisaatiot.

Hiljattain saimme toimeksiannon eräältä saksalaiselta sairaalalta.

Osa sairaalan palvelimista olivat Locky-nimisen ransomwaren saastuttamia. Hätätilanteessa sairaalan IT-osasto päätti katkaista virran koko palvelinsalista viruksen leviämisen estämiseksi. Suurten palvelinten alasajosta voi ilmetä ikäviä seurauksia, jos oikeita rutiineja ei noudateta.

Virran katkaiseminen kaikista palvelimista vaikutti myös toimiviin laitteisiin, joten seurauksena oli useita virheilmoituksia ja sairaalan toiminnan lamaantuminen.

Sairaalan käytössä oli Dell EqualLogic PS6500ES -palvelinjärjestelmä, varustettuna 148:lla sadan gigatavun kiintolevyllä.

Kun virus saatiin eristettyä järjestelmästä, huomattiin kuinka kaksi elintärkeää Oracle-tietokantaa sisältävä looginen yksikkö (LUN) oli korruptoitunut. Dellin asiantuntijatkaan eivät onnistuneet palauttamaan laitteistoa ennalleen.

Dell EqualLogic PS6500ES -tallennusjärjestelmässä on tavallisesti 16 tai 48 levyhyllyä RAID 5- tai RAID 50-konfiguraatiossa. Järjestelmä luo LUN-osoitteiston (Logical Unit Number) kaikille levyryhmille, jolloin kaikki LUN-kohteisiin tallennettavat tiedot pirstaloidaan ja levitetään ympäri koko tallennusjärjestelmää.

Seitsemän levyhyllyn ja 80 kiintolevyn analysoinnin jälkeen saimme selville puuttuvan Oracle-tietokannan osien sijaitsevan kolmella levyhyllyllä ja 80 eri kiintolevyllä. Analyysissa paljastui myös korruptoituneita tietoja ja hakemistorakenteita. Sisäinen hakemistorakenne on kuin kartasto, jossa osoitetaan tiedonpalasten sijainti fyysisessä tallennusjärjestelmässä. Sitä voidaan verrata tiedostojärjestelmään, joka on räätälöity tallennusjärjestelmän ohjaimelle. Tietokannan kokoaminen tiedonpalasista muuttuu varsin hankalaksi, kun hakemistorakenne on korruptoitunut tai puutteellinen.

Selvisimme työstä kehitystiimimme avulla, joka kehitti uuden työkalun juuri tämän tallennusjärjestelmän RAID- ja LUN-järjestelmien korjaamiseksi. Sen avulla saimme RAID 5- ja RAID 50-järjestelmät jälleenrakennettua ja LUN:in eheytettyä. Sairaalan LUN koostui virtuaalilevystä, yhdestä vmdk-tiedostosta, joka sisälsi kaivatut Oracle-tietokannat NTFS-tiedostojärjestelmässä. Näin ollen ehjien tietokantojen toimittaminen asiakkaalle edellytti vielä kahden tiedostokerroksen tunnistamista ja palauttamista.

Tämä tapaus osoittaa, kuinka tärkeää on tehdä alusta alkaen oikeat toimenpiteet vahingon sattuessa.

img_600x600_shirtontrack

Soita ja pyydä apua heti!