Sjukhus räddat från ransomeware

Ransomeware är ett glödhett tema just nu i medievärlden. Antalet som är drabbade har ökat kraftigt. I Sverige har det exploderat.

Kaspersky meddelar att det är en 18-procentig ökning världen över. Ransomeware med kryptering har ökat med 25 %. Det är med andra ord inte så konstigt att många säkerhetsexperter kallar 2016 "Ransomeware-året".

Det är inte bara privatpersoner och företag med dåliga säkerhetsrutiner som angrips.

Nyligen räddade vi ett stort Tyskt sjukhus.

Många servrar blev smittade av Lockyviruset. I krisen stängde IT-avdelningen även ner resten av serverparken för att förhindra att viruset skulle sprida sig. Sådana åtgärder är farliga om man inte har rutiner för nedstängning av stora system.

Fel uppstod under tiden, de var inte operativa och hela sjukhuset var i paniktillstånd.

Systemet var ett Dell EqualLogic PS6500ES system med 148 hårddiskar med 100 GB vardera.

När systemet lyckats bli fritt från virus saknades LUN med två särskilt viktiga Oracledatabaser. Varken sjukhusets IT-personal eller DELL support team klarade av att lösa problemet.

Ett Dell EqualLogic PS6500ES system inkluderar flera hårddiskar, vanligtvis är det 16 eller 18 diskhyllor som satts ihop i RAID 5 eller RAID 50 system. Systemet upprättar LUN:s (Logical Unit Number) som fördelas mellan alla undergrupper av diskar, dvs. att data som lagras i ett LUN sprids ut över diskarna i lagringssystemet. Detta kallas också fragmentering.

Efter analysen av 7 diskhyllor och 148 hårddiskar finner vi att LUN:et med den viktigaste Oracledatabasen är lagrad på 3 diskhyllor med 80 diskar. Analysen avslöjade korrupta eller bristande mappstrukturer i systemet. Den interna mappstrukturen kartlägger vilket diskfragment som hör till filerna lagrat på LUN:et. Mappstrukturen kan sammanfalla med ett filsystem och är specialkodat för den controllern. Med korrupt eller bristande mappstruktur är det inte lätt att lokalisera/länka ihop alla fragment som ska ingå för att rekonstruera den önskade Oracledatabasen.

Vårt utvecklingsteam blev engagerade i att programmera nya verktyg för att hitta mappstukturen och den korrupta RAID och LUN adresseringen. Därefter rekonstruerade de RAID 5 och RAID 50 systemen och synliggjorde LUN:et. I detta LUN var det en virtuell disk – en wmdk fil – som på nytt innehöll 2 Oracledatabaser i ett NTFS filsystem. Så ytterligare 2 fillager i detta LUN:et var tvungna att återskapas för att databaserna skulle kunna exporteras. Med dessa pusselbitar på plats fick sjukhusets IT-avdelning igång systemet igen.

Detta case visar att du måste ha en komplett incidenthanteringsplan om du blir anfallen av ransomware eller andra incidenter som innebär dataförluster.

Picture copyright: by-sassi  / pixelio.de