METHOD AND APPARATUS FOR RECOVERING FILE SYSTEM

For recovering a file system detected is an activity of a ransomware software in a primary file system that uses a file system level continuous data protection, CDP, system logging all file operations for backing up the primary file system to a backup storage. Furthermore, the ransomware software ac...

Full description

Saved in:
Bibliographic Details
Main Author NATANZON, Assaf
Format Patent
LanguageEnglish
French
Published 18.07.2024
Subjects
CALCULATING
COMPUTING
COUNTING
ELECTRIC DIGITAL DATA PROCESSING
PHYSICS
Online AccessGet full text

Cover

More Information
Summary:For recovering a file system detected is an activity of a ransomware software in a primary file system that uses a file system level continuous data protection, CDP, system logging all file operations for backing up the primary file system to a backup storage. Furthermore, the ransomware software activity is blocked by declining new inputs and outputs, and determined are a last clean point in time, PIT, before the ransomware software activity and one or more files infected by the ransomware software. For each of these files, an uninfected version is obtained, operations recorded for the uninfected version of the file after the last clean PIT that are not associated with the detected ransomware software activity are selected from a log file of the CDP system, and only the selected operations are applied to the uninfected version of the file for its recovery. Pour récupérer un système de fichiers, on détecte une activité d'un ransomware dans un système de fichiers primaire qui utilise un système de protection continue des données, CDP, au niveau du système de fichiers, le système consignant toutes les opérations de fichier pour sauvegarder le système de fichiers primaire dans un stockage de sauvegarde. En outre, l'activité du ransomware est bloquée en refusant de nouvelles entrées et sorties, et un dernier point dans le temps, PIT, propre avant l'activité du ransomware, ainsi que le ou les fichiers infectés par le ransomware, sont détectés. Pour chacun de ces fichiers, une version non infectée est obtenue, des opérations enregistrées pour la version non infectée du fichier après le dernier PIT propre qui ne sont pas associées à l'activité détectée du ransomware sont sélectionnées à partir d'un fichier journal du système CDP, et seules les opérations sélectionnées sont appliquées à la version non infectée du fichier pour sa récupération.
Bibliography:Application Number: WO2023EP50263