Sauvetage Ransomware NAS QNAP TS-453Be

Publiée le 24/12/2021

Ces derniers mois, des milliers d’entreprises ont subi des attaques de Ransomware. Des cas de moins en moins médiatisés mais une problématique toujours bien présente comme en attestent les nombreux sauvetages que nous avons réalisé. Les attaques continuent mais les cibles évoluent : après les grands comptes, les administrations, ce sont désormais les PME, souvent plus vulnérables, qui sont attaquées.
 

En effet, les ransomwares se multiplient en 2021 et les cybercriminels continuent d’accélérer les attaques pour récupérer des gains financiers. Les données chiffrées par les ransomwares peuvent être des base de données, de la comptabilité, des fichiers clients…, sur les serveurs de production. En parallèle, les hackers vont saboter et détruire les sauvegardes qui sont connectées et stockées souvent sur des NAS avec des systèmes de sauvegarde comme VEEAM ou ACRONIS par exemple.
En 2021, nous avons réalisé toujours plus d’interventions sur Ransomware. Découvrez comment nous avons retrouvé les données d’un NAS saboter par les hackers. : https://recoveo.com/actualites/recuperation-de-donnees-sur-nas-netgear-suite-attaque-ransomware-crylock
 

Attaque sur NAS QNAP TS-453Be

Fin novembre 2021, une entreprise du centre ouest de la France nous contacte suite à une demande de rançon. L’attaque semble s’être déroulée le dans la nuit du 28 au 29. Les données de son NAS Qnap composés de 4 disques de 6To ont été supprimées. Il s’agirait d’environ 5To de données rendues inaccessibles, répartis dans plusieurs fichiers de sauvegardes contenant les machines virtuelles VmWare. Le client souhaite récupérer ses fichiers Veeam le plus rapidement possible pour reprendre son activité. Nous n’avons pas plus de détails sur le ransomware incriminé tout comme sur la méthode utilisée pour la suppression.
 

L'intervention de nos experts

Nous recevons la demande le 29 en fin de journée et prenons en charge le dossier grâce à notre cellule d’urgence 7/7j et 24/24h.
Nos équipes ouvrent le dossier et échange rapidement avec le client afin d’avoir plus de détail sur sa problématique et son environnement (Type de Raid, Nombre de disques, marque, modèle du serveur, volume de données…) Il s’agit d’un Raid 6, sous linux Ext 4, dans un NAS QNAP TS-453Be 4 baies avec 4 disques de 6To et ses données les plus importantes sont des fichiers de sauvegarde VEEAM de plusieurs Go.
Après avoir collecter toutes les informations nécessaires et eu la validation de notre client, nous mettons en place un transport express en urgence le 30 Novembre pour récupérer le matériel le plus rapidement possible. Une fois reçu au laboratoire 5h plus tard, un diagnostic complet est réalisé. Nous lançons ensuite un clonage de l’ensemble des disques pour sécuriser les données. Notre expert s’aperçoit vite que le premier disque est endommagé et qu’un second est en train de se dégrader physiquement. Une intervention en salle blanche sera donc inévitable. Les disques sont des Seagate Barracuda 4 TB. Une fois les différentes opérations réalisées et les accès rétablis nous connectons les disques à notre serveur équipé d’outils dédiés à ce type de problématique. Après plusieurs manipulations, le technicien retrouve les paramètres du RAID à la main, il lance ensuite l’extraction des presque 5To de données retrouvées vers un nouveau NAS.
 

UN SUCCESS PRESQUE TOTAL

Après quelques heures de copie une vérification de l’intégrité des quelques 2 400 fichiers récupérés est réalisée. Au final c’est un excellent résultat avec seulement quelques fichiers endommagés (moins de 1%). Et surtout de nombreuses machines virtuelles récupérées sans erreurs.Nous avons fait parvenir au client le 2 Décembre le FTP prioritaire certaine machine virtuelle dont il avait besoin en urgence. Est arrivé à destination le lendemain par coursier express.