Go to Top

Kroll Ontrack y NetApp trabajan en conjunto y con éxito contra Cryptolocker

Cryptolocker es uno de los malwares más insidiosos actualmente en circulación. El malware se propaga principalmente a través de correos electrónicos supuestamente enviados por bancos de confianza. Al abrir un documento adjunto al correo electrónico, se activa el código malicioso y Cryptolocker se instala. Esto hace que tanto los medios de almacenamiento internos como externos, unidades USB e incluso dispositivos de almacenamiento conectados en red (NAS) sean encriptados de forma que ya no se puede acceder a los datos. Las víctimas de esta extorsión luego tienen 72 horas para pagar el rescate mediante Bitcoins. Quienes se nieguen a pagar pierden sus datos, a menudo para siempre.

El hecho de que no sólo los usuarios privados que navegan visitando sitios web dudosos o manejan sus datos personales de forma poco prolija se ven afectados por Cryptolocker fue descubierto por un empleado de una compañía farmacéutica. El resultado fue que no sólo su ordenador portátil fue totalmente encriptado, sino que el código malicioso infectó al mismo tiempo a prácticamente todos los volúmenes conectados a Internet del servidor de archivos NetApp FAS utilizado. Los compañeros de trabajo del departamento afectado también se vieron impedidos de acceder a sus datos y el trabajo en el departamento se detuvo por completo. Para empeorar las cosas todavía más, el departamento de TI recién fue informado acerca de la infección con el malware Cryptolocker después haberse creado la nueva copia de seguridad periódica.

Un total de 46 discos duros físicos, 1 agregado NetApp (con 17 unidades) y 1 unidad RAID de doble paridad fueron infectados por Cryptolocker. La empresa en cuestión llevó el sistema infectado al laboratorio de recuperación de datos de Ontrack en Nueva Jersey para su análisis integral y la subsiguiente recuperación de datos.

En primer lugar se reconstruyeron los grupos RAID que estaban distribuidos en 10 unidades diferentes, el agregado NetApp y la unidad de paridad doble contaminada. Durante esta tarea, se descubrieron daños adicionales en el agregado NetApp, causados por el hecho de que continuó funcionando durante dos semanas después de haber sido infectado por Cryptolocker.

Debido a la forma en que fue configurado el sistema de datos propietario WAFL de NetApp, los ingenieros de datos fueron prácticamente capaces de “volver atrás en el tiempo” y recuperar los datos. En un sistema NetApp, la recuperación de datos se lleva a cabo a nivel del agregado. El sistema de archivos WAFL crea automáticamente los así llamados checkpoints (puntos de control) cada diez segundos. Varios de estos checkpoints fueron identificados por los ingenieros y combinados con el fin de permitir a la empresa obtener acceso a copias no encriptadas de los archivos originales.

Con la ayuda de la pericia de los expertos de recuperación de datos de Kroll Ontrack, combinada con las tecnologías de NetApp subyacentes y el método de escritura de datos, fue finalmente posible lograr la victoria sobre Cryptolocker, desafiando a los chantajistas y protegiendo datos críticos para el negocio de su inminente pérdida.

Información adicional sobre el éxito de la recuperación de datos en un sistema de almacenamiento de NetApp infectado por Cryptolocker también incluye un detallado vídeo de una hora (en inglés) acerca de este caso.

, , , ,

Deja un comentario