RAID Datenrettung

SAN Datenrettung von Compaq (HP) StorageWorks (Fallstudie)

Datenrettung SAN für öffentlichen Träger Rostocker Freizeitzentrum e.V.

  • Betroffenes System: SAN Compaq StorageWorks
  • Datenträger: 14 SCSi – 146GB Ultra320 3.5-Zoll (HPe zertifizierte HDD diverse Modelle)
  • benötigte Daten: vmWare virtuelle Server (MS Exchange, Small Business Server (SBS), SQL Server mit 5 Datenbanken, Terminalserver, Dateiserver)
  • Wiederhergestellte Daten: 1,22 TB (enthalten waren die o.g. virtuellen Server bzw. Datenträger)

Ursprünglicher Zustand: Kein SAN- und Serverzugriff mehr nach Ausfall von drei Festplatten

Über Nacht waren drei SCSi Datenträger (HPE 286716-B22) ausgefallen. Das RAID 5 war nicht mehr konsistent und deshalb offline. Nachdem unser Partner vor Ort (IT Consultant Swen Cornelius) sich einen kurzen Überblick über das Setup und den Schaden verschafft hatte, wurden wir zur Untersützung und Tiefendiagnose der Datenträger im RAID 5 Array hinzugezogen. Unsere Diagnose ergab, dass die drei betroffenen Medien mechanische Schäden an den Schreib-Leseköpfen und Oberflächen der Platter aufwiesen. Wir konnten anhand der RAID 5 Fragmente präzise einen Workflow zur Recovery festlegen und diesen dem Kunden präsentieren.

SAN Datenrettung und Wiederherstellung aller virtuellen vmWare Datenträger und Server

Nachdem der Ablauf definiert war, wurde unverzüglich mit der Wiederherstellung des SAN bzw. des RAID Verbundes begonnen. Zur Gewinnung der Paritätsdaten war es zunächst erforderlich, die kaputten SCSi Festplatten im Labor zu rekonstruieren und deren Rohdaten zu gewinnen. Nachdem alle verfügbaren Datenfragmente logisch verfügbar waren, wurden dann im mehrstufigen Projekt die Paritätsdaten zusammengefasst und noch offene logische Beschädigungen durch individuelle Prozessspezifische Tools rekonstruiert. Ein großer Teil erfolgte manuell, da die vollständige Lesbarkeit und damit die Verfügbarkeit der ursprünglichen virtuellen Server im Fokus stand. Nach einer abschließenden Konsistenzprüfung stand fest, dass 100% wiederhergestellt wurden. Die Bereitstellung erfolgte auf dem schnellstmöglichen Weg. Die Integration erfolgte durch den vor Ort beauftragten Consultant und dessen Team. Innerhalb weniger Tage war der Tagesbetrieb des Rostocker Freizeitzentrums wieder vollständig möglich.

Datenrettung & Entschlüsselung von Daten nach Befall von CrySIS Ransomware

wiederherstellung-datenrettung-entschluesselung-daten-ransomware-crysis-datarecovery

Nach dem Motto „Doppelt hält besser“ musste ein bekannter deutscher Sportverband den Befall von mehreren so genannten Filecodern vom Typ CrySIS erfahren. Zwei Versionen der Ransomware wurden später im Zuge der Datenrettung festgestellt.

Betroffenes System: RAID5 auf Fileserver mit 12 Terrabyte Daten

Der Windows Server verfügte über ein separates RAID5 Array, auf dem sämtliche Daten des Verbandes im Netzwerk gespeichert und archiviert wurden. Dabei sorgten vier Seagate Festplatten vom Typ ST4000VN000 für insgesamt 12 Terrabyte verfügbaren Datenspeicher. Über Nacht waren plötzlich sämtliche Daten der Netzwerk-Shares verschlüsselt worden und somit nicht mehr verwendbar. Ein nachträglich durchgeführter Antivirentest durch „Malwarebytes Anti-Malware“ konnte keinen Befall von Schadsoftware feststellen. Nach der Feststellung des katastrophalen Zustandes des Dateiservers wandte sich die IT-Abteilung des Sportverbandes an DATARECOVERY®.

Express Diagnose: starke Verschlüsselung und Logische Beschädigungen

Per Direktkurier wurden noch am selben Tag sämtliche Serverfestplatten in das Zentrallabor nach Leipzig gebracht. Dort erfolgte die Datenträgeranalyse in Quarantäne. Es wurden schwerwiegende Schäden am Dateisystem festgestellt sowie die komplexe Verschlüsselung durch die Ransomware CrySIS. Nachdem die Diagnose des schadhaften verschlüsselten Systems abgeschlossen war, wurde unmittelbar mit der Datenwiederherstellung und Entschlüsselung der Daten begonnen.

Erfolgreiche Datenrettung: Entschlüsselung zweier Trojaner + Logische Rekonstruktion im Dateisystem

Die Kryptografie Spezialisten bei DATARECOVERY® übernahmen die Entschlüsselung der Dateien. Bei der aufwändigen Ermittlung des zugrundeliegenden Schlüssels wurde festgestellt, dass es sich nicht nur um eine Verschlüsselung handelte, sondern gleich zwei Trojaner desselben Typs zugeschlagen hatten. Es galt somit zwei Schlüssel herauszufinden. Dazu kamen die bereits in der Diagnose festgestellten logischen Beschädigungen. Diese waren in der Folge des gleichzeitigen Zugriffs verschiedener Ransomware (beide vom Typ CrySIS) entstanden. Ettliche Dateien wurden teilweise überschrieben oder verfügten über Schäden in den Metainformationen. Die Datenwiedeherstellung erfolgte somit in drei Schritten.

  • Entschlüsselung der Daten durch den ersten Trojaner
  • Entschlüsselung mit zweitem Schlüssel durch Ransomware 2 verschlüsselter Daten
  • Rekonstruktion und Reparatur von beschädigten Daten die durch den zeitgleichen Zugriff zweier Ransomware entstanden waren

Fazit: Es konnten alle Daten erfolgreich und vollständig lesbar wiederhergestellt werden. Der Geschäftsbetrieb konnte unmittelbar danach wieder aufgenommen werden.

Zunehmend Datenverlust innerhalb von RAID- und internen Cloud Systemen

DATARECOVERY-Datenrettung-Datenverlust-in-Unternehmen-Server-RAID-vorbeugen-srVor allem bei kleinen und mittelständischen Unternehmen stellen wir vermehrt fest, dass Datenverluste im Bereich zentral genutzter Unternehmensspeicher auftreten. Die meist innerhalb von NAS oder anderen Storagesystemen organisierten Daten werden zwar grundlegend gesichert, allerdings fehlt es meist an der regelmäßigen Überprüfung und detaillierten Desaster Konzepten.

Durch die vorliegende Redundanz von Datenträgern im RAID-Verbund besteht ein gewisser Schutz gegen den Ausfall eines oder auch mehrerer einzelner Datenträger. Zusätzlich werden in den meisten Fällen auch regelmäßige Backups der Daten durchgeführt. Dies geschieht meist durch automatisierte Datensicherungs-Jobs einer Image- oder Backupsoftware. In unserem alltäglichen Erfahrungsaustausch mit Kunden und IT-Partnern zeigt sich, dass die teilweise vorhandenen Datensicherungsstrukturen nur unzureichend und regelmäßig auf Funktion und Vollständigkeit überprüft werden. Oftmals sind Budgetgrenzen für fehlende zusätzliche Tests und explizite Failover-Konzepte verantwortlich. Viele Unternehmen sind auch unzureichend über aktuelle Sicherheitslösungen informiert.

Unsere Empfehlungen für sichere Speichersysteme im Unternehmen

  • redundante Datenträgeranordnungen (z.B. innerhalb von RAID1, RAID 10 oder RAID 6 Verbunden)
  • Failoverkonfiguration durch Cluster oder Replikation
  • Externe Backups in Cloud-Speicher
  • interne Backups mit regelmäßiger Datenträgerrotation und externer (geregelter) Aufbewahrung
  • regelmäßiger Backup- und Destaster Tag zur intensiven Überprüfung der vorhandenen Mechanismen zur Datensicherung
Logos unserer Partner
Ausgezeichnet.org