Ransomware er et brennhett tema i dagens medieverden. Antallet som er rammet er økt kraftig. I Norge har det eksplodert.

Kaspersky melder at det er en 18 prosent økning i antall rammede verden over. Ransomware med kryptering har økt med 25 prosent. Ikke rart mange sikkerhetseksperter kaller 2016 the  "Ransomware Year".

Det er ikke bare privatpersoner og bedrifter med dårlige sikkerhetsrutiner som angripes.

Nylig reddet vi et stort tysk sykehus.

Mange servere ble infisert av Lockyviruset. I krisen stengte it-avdelingen også ned resten av serverparken for å forhindre at viruset skulle spre seg. Slike tiltak er farlige hvis man ikke har rutiner for nedstenging av store systemer.

Feil oppstod til gangs, de var ikke operative og hele sykehuset var i full panikk.

Systemet var et Dell EqualLogic PS6500ES med 148 harddisker med 100 GB hver.

Når systemet var friskmeldt for virus, manglet det det LUN med2 særdeles viktige Oracle databaser. Verken sykehusets IT-folk eller DELL support team klarte å finne ut av flokene.

Et Dell EqualLogic PS6500ES system inkluderer flere harddisker, vanligvis er det 16 eller 48 diskhyller satt opp i RAID 5 eller RAID 50 systemer. Systemet oppretter LUN’s (Logical Unit Number) som fordeles utover alle disk undergruppene, dvs. at data som lagres i et LUN spres utover diskene i lagringssystemet. Dette blir også kalt="" fragmentering.

Etter analysen av 7 disk hyller og 148 harddisker, finner vi ut at LUN-et med den viktige Oracle databasen er lagret på 3 diskhyller med 80 disker. Analysen avdekket også korrupte eller manglende mappestrukturer i systemet. Den interne mappestrukturen mapper hvilke disk fragmenter som hører til filene som er lagret på LUN’et . Mappestrukturen kan sammenlignes med et filsystem og er spesialkodet for denne kontrolleren.  Med korrupt eller manglene mappestruktur er det ikke lett å lokalisere/linke opp alle fragmenter som skal til for å rekonstruere den ønskede Oracle databasen.

Vårt utviklingsteam ble engasjert for å programmere nye verktøy for å finne mappestrukturen og den korrupte RAID og LUN adresseringen. Deretter lot det seg gjøre å rekonstruere RAID 5 og RAID 50 systemene og synliggjøre LUN-et. I dette LUN-et var det en virtuell disk – en vmdk fil – som igjen inneholdt 2 Oracle databaser i et NTFS filsystem. Så ytterligere 2 fillag i dette LUN-et måtte restores før databasene kunne eksporteres. Med disse puslebitene på plass fikk sykehusets IT-avdeling systemet opp å kjøre igjen.

Denne casen viser at du må vite din førstehjelp hvis du blir rammet av Ransomware eller en annen ulykke.

Photo copyright: by-sassi  / pixelio.de