Go to Top

Kroll Ontrack e NetApp sconfiggono il virus CryptoLocker ransomware.

Soluzione e rimozione Cryptolocker Ransomware

Il danno del malware CryptoLocker ransomware

Lo scontro ha inizio su un singolo laptop di una grande industria farmaceutica che è stato attaccato da CryptoLocker ransomware, un malware che codifica i file e non fornisce la chiave fino a quando l’utente non paga il “riscatto”. Il PC  era collegato al network aziendale e aveva accesso a un volume  CIFS configurato come file share su NetApp FAS. Il virus è stato in grado di entrare nel file share e di codificare la maggior parte dei file. Questo ha impattato l’intero dipartimento in cui lavorava l’utente, poichè il virus ha bloccato le operazioni svolte quotidianamente.

Sfortunatamente il supporto IT del cliente non si è accorto subito dell’infezione di Cryptolocker.

I danni in numeri:

  • 46 drive
  • 1 aggregato (tenuto offline dopo aver infettato 17 volumi)
  • 1 volume attaccato su RAID DP

Scende in campo Kroll Ontrack

Il cliente ha portato tutti i dispositivi nel laboratorio Kroll Ontrack in New Jersey per verificare i danni subiti. I nostri ingegneri hanno subito iniziato a lavorare per individuare l’intervento più adatto a risolvere il problema. I nostri tecnici hanno ricostruito i gruppi RAID, l’aggregato e il volume su RAID DP. Hanno poi individuato ulteriori danni sull’aggregato dopo aver scoperto che era stato utilizzato per ben due settimane dopo l’attacco del virus e dopo che i dati erano stati sovrascritti.

L’arma segreta di  NetApp

Grazie al modo in cui il file system WAFL di NetApp è configurato, gli ingegneri Kroll Ontrack sono stati capaci di “tornare indietro nel tempo” e recuperare i dati. Il data recovery sui sistemi NetApp viene effettuato a livello dello strato dell’aggregato. Dato che WAFL crea dei checkpoint ogni 10 secondi, i nostri ingegneri sono stati in grado di identificare diversi checkpoint e di unire i dati per fornire al cliente un accesso alle copie decodificate originali.

Vittoria: rimozione virus CryptoLocker ransomware e recupero dati

Le competenze di Kroll Ontrack nel recupero dati insieme alla tecnologia NetApp e alla metodologia di scrittura utilizzata dal file system ci hanno permesso di trovare una soluzione per la rimozione del virus CryptoLocker ransomware. Siamo infatti stati in grado di recuperare copie decodificate dei dati che erano stati criptati (e tenuti in ostaggio in attesa di riscatto) e di poterle rendere al cliente.

Gli ingegneri Kroll Ontrack si sono riuniti con NetApp per discutere di questo caso. Clicca qui per visualizzare il webinar e per ascoltare le opinioni dei nostri esperti su CryptoLocker ransomware.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *