設備型號:Synology RS1219+
送件原因:疑似加密病毒
檢測狀況:部分資料被 lockerbit 加密,並且駭客有惡意砍掉Raid pool 與檔案分區.
救援過程描述:以人工分析運算組合RAID之後將資料導出
btrfs嚴重受損, 修改mount後校驗部分 ,然後可以Mount磁碟機, 然後分析容量容量分佈, 顯示佔用容量最大的, 以及目錄和檔案數量,根據這個去對比較重要的目錄(依佔比來評估), 對於各別子目錄, 用專業軟體(程式可挑目錄執行)作成html檔由於軟體在Mount磁碟機的動作, 存取速度會比較慢, 建議在將硬碟作鏡像之後再去做比較順, 建議先做幾個子目錄(能打開的html), 然後再給3顆8TB硬碟作鏡像, 再補作其他的html檔
將指定檔案拷貝到一顆硬碟,硬碟由我們出借,拷貝完畢後掃描看看是否有病毒
最終 成功
