Après le succès de Novembre suite à l’infection d’une PME du nord, les hackers de Lockbit ne s’arrêtent pas !
Cette fois-ci, c’est une société mixte du sud de la France qui est paralysée par une cyberattaque.
Elle affiche sur son site web « nous subissons une cyberattaque qui affecte notre téléphonie et nos outils informatiques”.
L’ensemble de ses serveurs ont été chiffrés par le ransomware Lockbit 3.0
Il s’agit ici d’une architecture très classique comprenant un serveur principal et un serveur de sauvegarde. Tout est stocké sur un NAS QNAP de 7 disques. Nos équipes reçoivent la demande par téléphone juste avant les fêtes de Noël.
Le premier diagnostic confirme les informations du client : les serveurs sont chiffrés par Lockbit 3.0. Nous recevons cette fois le serveur de backup en premier.
Après plusieurs heures de recherche, les équipes constatent que les hackers ont pris soin de tout effacer avec la volonté qu’aucune récupération ne soit possible.
Nous recevons donc dans un second temps le serveur principal contenant également tous les fichiers chiffrés.
Nos équipes commencent par analyser les machines virtuelles VHDX. Nous essayons plusieurs outils du marché mais aucun ne fonctionne. Nous devons procéder à un traitement manuel des fichiers.
Finalement, 11 machines virtuelles sur 13 sont récupérées.
Les deux machines irrécupérables n’étaient présentes que sur le serveur de sauvegarde.
Par soucis de sécurité, ils nous demandent d’extraire le contenu des fichiers .vhdx puisqu’ils ont peur que les machines virtuelles soient infectées.
Nous réussissons à récupérer ainsi 85 % des données, dont les prioritaires !
🏆 L’entreprise a pu accélérer sa reprise d’activité et passer de bonnes fêtes.
Cellule d'urgence ransomware
Contactez dès à présent nos experts pour vous accompagner et accélérer votre reprise d’activité.