logo SOS Ransomware
Emergencia 24/7

Archivo .MDF cifrado por ransomware

1️⃣ ¿Qué es un archivo .MDF?

Un archivo .MDF (Microsoft SQL Server Master Data File) es el archivo principal de una base de datos de SQL Server. Contiene:
  • Los datos de usuario (tablas, vistas, procedimientos almacenados)
  • La estructura y la indexación
  • La información esencial para la reconstrucción de la base de datos
El archivo .MDF suele ir acompañado de un archivo .LDF (registro de transacciones) que registra todas las modificaciones. La pérdida o corrupción de un archivo .MDF puede provocar la inaccesibilidad total de la base de datos SQL.

2️⃣ Síntomas de un archivo .MDF cifrado por ransomware

Cuando un ransomware ataca archivos .MDF, pueden aparecer varias señales:
  1. Cifrado del archivo
    • Extensión modificada: .MDF.locked, .MDF.anubis u otra según el ransomware
    • Imposibilidad de abrir el archivo en SQL Server
  2. Mensaje de rescate
    • Archivo de texto o HTML dejado por el ransomware en la carpeta con instrucciones de pago
    • El nombre del archivo suele ser idéntico para todos los archivos cifrados
  3. Base de datos inaccesible
    • SQL Server devuelve errores: “Cannot open database …. The physical file may be missing or corrupt”
    • Las transacciones ya no pueden registrarse
  4. Síntomas secundarios
    • Servidor SQL inestable o extremadamente lento
    • Registros de transacciones (.LDF) no sincronizados
    • Copias de seguridad locales a veces eliminadas o cifradas

3️⃣ Impacto en la recuperación de datos

La recuperación de un archivo .MDF cifrado depende de varios factores:
  1. Tipo de ransomware
    • El ransomware clásico cifra el archivo sin eliminarlo
    • El ransomware destructivo puede sobrescribir o eliminar el contenido → la recuperación se vuelve casi imposible
  2. Disponibilidad de copias de seguridad
    • Copia de seguridad no cifrada y fuera de línea: recuperación rápida
    • Copia de seguridad en red: riesgo de que el ransomware también haya cifrado las copias
  3. Estado del archivo
    • Archivo completamente cifrado: requiere reconstrucción a partir de una copia de seguridad
    • Archivo parcialmente dañado: herramientas especializadas pueden intentar extraer los datos intactos
  4. Complejidad del formato SQL
    • MDF contiene estructuras internas complejas (páginas, índices, tablas)
    • Las herramientas de recuperación deben reconstruir las páginas para que la base de datos vuelva a ser funcional

4️⃣Buenas prácticas después del cifrado de archivos .MDF

  1. Aislamiento inmediato
    • Desconectar el servidor SQL de la red
  2. No intentar una restauración directa
    • Evitar reiniciar SQL Server o restaurar sobre un archivo cifrado → riesgo de sobrescribir páginas intactas
  3. Identificar la variante de ransomware
    • Permite determinar si existe una herramienta de descifrado
  4. Contactar con un experto en recuperación de datos tras un ataque de ransomware
Para archivos MDF corruptos: reconstrucción página por página

Conclusión

Un archivo .MDF cifrado por ransomware representa una emergencia crítica:
  • Síntomas: base de datos inaccesible, extensiones modificadas, error de SQL Server
  • Impacto: depende de la naturaleza del ransomware
Riesgo máximo: pérdida definitiva de datos si el archivo ha sido destruido o si no existe una copia de seguridad fiable

La récupération d’un fichier MDF chiffré par ransomware est fortement dépendante de l’existence de sauvegardes isolées. La rapidité d’intervention et la bonne identification du ransomware influencent directement le succès de la restauration.