Récupération de bases MS SQL Server dans des machines virtuelles VHDX dynamiques chiffrées par ransomware
Nous prenons en charge tous les types de base de données, sur tous vos supports professionnels, 24/7, 7/7.
Réparation de fichiers .MDF, .NDF et .LDF,... , ou instances chiffrées, tables, index corrompus. Expertise sur toutes les versions (SQL Server 2012 à 2022)
Solutions personnalisées, adaptées à la problématique spécifique de votre entreprise
Transferts sécurisés Laboratoire français indépendant, depuis + 20 ans.
Contexte de l'intervention
Une PME danoise spécialisée dans la fourniture d’équipements techniques pour les pharmaciens a contacté Recoveo suite au chiffrement de ses données par un ransomware. Face à l’urgence opérationnelle, le dirigeant de l’entreprise s’est déplacé directement dans nos locaux pour nous remettre les supports concernés.
Éléments techniques reçus
Trois fichiers VHDX ont été soumis à notre laboratoire dans les Machines Virtuelles (VM) suivantes :
- VM DK : machine virtuelle chiffrée, contenant les bases de données critiques
- VM NL : machine virtuelle chiffrée, accompagnée d’une sauvegarde datant de 8 mois
- Traitement de la VM NL : nos équipes ont pu reconstituer les données à leur état du jour en moins de 24 heures.
Traitement de la VM DK : cette machine virtuelle constituait le cœur de l’intervention. Le client souhaitait récupérer deux bases de données Microsoft SQL Server — un fichier .MDF de 16 Mo et un fichier .MDF de 15 Go.
Le fichier de 16 Mo a été restitué le jour même. Le fichier de 15 Go a nécessité une procédure d’investigation avancée.
Difficultés techniques rencontrées
Échec d’outils de récupération standards
Nos équipes essaient 4 logiciels qui fonctionnent habituellement sur des cas classiques :
Les fichiers extraits se sont révélés corrompus et inexploitables.
Particularité des machines virtuelles dynamiques
Le format VHDX dynamique repose sur une table d’allocation qui référence l’emplacement de chaque bloc de données au sein du fichier. Dans ce cas précis, le ransomware a détruit moins de 0,5 % du début de la machine virtuelle — une zone qui concentre précisément cette table. Cette destruction, bien que minime en volume, rend toute récupération par les méthodes classiques techniquement impossible.
Ce type de dommage sur un VHDX dynamique reste peu documenté dans la littérature spécialisée, ce qui a rendu la phase diagnostic particulièrement exigeante.
Procédure de récupération avancée
Activation de la cellule R&D
Face à l’échec des approches standard, la cellule Recherche & Développement de Recoveo a été mobilisée. Trois ingénieurs ont travaillé simultanément sur le dossier avec pour objectif d’adapter nos outils propriétaires à ce cas inédit.
Résultat intermédiaire
Au terme de 72 heures de recherche, l’un des ingénieurs a identifié une méthode de reconstruction partielle des structures internes de la base, permettant de remonter 90 % des tables.
Livraison et validation
Trois versions itératives du fichier reconstitué ont été produites afin de maximiser la couverture de récupération. Une plateforme de test a été installée pour validation. En moins d’une heure, le client a confirmé que la table principale de la base de données était récupérée à 100 % sur la première version livrée, permettant une reprise d’activité immédiate.
Face à l'échec des approches standard, la cellule Recherche & Développement de Recoveo a été mobilisée. Trois ingénieurs ont travaillé simultanément sur le dossier avec pour objectif d'adapter nos outils propriétaires à ce cas inédit.
Au terme de 72 heures de recherche, l'un des ingénieurs a identifié une méthode de reconstruction partielle des structures internes de la base, permettant de remonter 90 % des tables.
Trois versions itératives du fichier reconstitué ont été produites afin de maximiser la couverture de récupération. Une plateforme de test a été installée pour validation. En moins d'une heure, le client a confirmé que la table principale de la base de données était récupérée à 100 % sur la première version livrée, permettant une reprise d'activité immédiate.
Points de synthèse
| Élément | Résultat |
|---|---|
| VM NL — fichier MDF de 8Go | Récupérées en < 24 h |
| VM DK — fichier MDF 16 Mo | Récupéré le jour même |
| VM DK — fichier MDF 15 Go | Table principale récupérée à 100 % |
| Délai total R&D | 72 heures |
Enseignements
Ce cas illustre une problématique croissante : les ransomwares ciblent désormais des zones précises et stratégiques des systèmes de fichiers virtuels, rendant les outils de récupération généralistes inopérants. La capacité à adapter des outils sur mesure à des cas non documentés constitue un différenciateur technique essentiel.
Ce type d’intervention mobilisant la cellule R&D représente 4 à 5 dossiers par an chez Recoveo.
Faites une demande d'évaluation
Après la réception de votre demande, nous organiserons un appel technique avec nos ingénieurs.