Ransomware Makop : Comment Recoveo a sauvé 100% de la base de données d’une entreprise de plomberie allemande

Une entreprise de plomberie voit soudainement toute son activité paralysée. À l’écran, une extension terrifiante : .mkp. Le ransomware MAKOP vient de frapper. Face à un chantage financier s’élevant à 15 000 €, et sur les conseils avisés d’un de nos partenaires, l’entreprise refuse de céder aux cybercriminels. Problème : leur sauvegarde repose sur Drive Snapshot, un logiciel allemand de niche très épuré, dont les fichiers .sna sont rarement croisés par les experts. C’est ici que l’équipe d’informaticiens et l’éditeur du logiciel décident de passer le relais au laboratoire Recoveo.

En bref : Succès de récupération Ransomware par Recoveo

Entreprise victime : Secteur Plomberie
Menace : Ransomware MAKOP (.makop / .mkp)
Cible : Base de données MS SQL (.mdf / .ldf) et sauvegarde Drive Snapshot (.sna)
Rançon demandée (estimation) : 15 000 € (Non payée)
Volume de données remis : 535 Go
Solution Recoveo : Outil de reconstruction propriétaire issu de notre pôle R&D
Résultat final : 100% de récupération sur la base de données et 99.9% sur le reste des données.

Le défi : Une base SQL et une sauvegarde d’un outil de niche (.SNA) chiffrées

En plongeant dans l’infrastructure de l’entreprise, un constat s’impose d’emblée : ici, pas de virtualisation moderne ni de conteneurs. Le ransomware MAKOP a frappé au cœur du réacteur en chiffrant son backup.

Qu’est-ce que le ransomware MAKOP (.mkp) ?

D’après l’Agence du Numérique rattaché au Ministère de la Santé du Makop est une souche de ransomware apparue en 2020. Elle est souvent considéré comme une variante de la famille Phobos. Malgré une centaine d’entreprises européennes à son actif, ce groupe cybercriminel est néanmoins considéré comme un acteur cybercriminel de second plan.

Le cas rare du logiciel Drive Snapshot de Tom Ehlert

Le backup provenait d’un éditeur que l’on avait peu souvent vu jusque là, au format Drive snapshot (.sna). Rare mais déployé par l’éditeur Tom Ehlert – Software & Consulting, fondé en Octobre 2000, basé en Allemagne, qui développe une solution d’imagerie disque en temps réel (Real time disk imaging). Leur logiciel ‘Drivesnapshot’ existe depuis 2002. Drive Snapshot est une solution utilitaire extrêmement épurée, dont l’interface n’a pratiquement pas changé depuis l’époque de Windows NT ou 2000.

interface de drivesnapshot

Interface de DriveSnapshot

Assez populaire chez les administrateurs système « sysadmins » : en Allemagne, son pays d’origine, Drive Snapshot bénéficie d’une solide réputation de type « héros de l’ombre » auprès de la vieille garde des techniciens informatiques.

Sa capacité à créer des images de disque à chaud sans redémarrage, sa portabilité (un seul fichier exécutable sans installation) et sa légèreté en font un outil de prédilection dans les scripts de maintenance. C’est sans doute là qu’il détient sa plus grosse part de marché indirecte.

Des entreprises allemandes de gestion d’infrastructures industrielles (comme Ondeso) intègrent officiellement la licence Drive Snapshot dans leurs suites logicielles pour automatiser les sauvegardes industrielles (OT) de PC industriels et de machines de production (parfois très anciennes, de Windows NT4 à Windows 11).

L’intervention Recoveo : La R&D et notre outil de réparation

Pour contourner ce blocage, nos équipes ont déployé notre nouvel outil interne de reconstruction toujours en cours de développement.
Les résultats de l’analyse ont mis en évidence un excellent taux de survie: seulement 570 pages invalides (chiffrées) sur près de 185 000 (soit à peine 0,3% de perte brute).

Cependant, le chiffrement de l’en-tête avait rendu certaines tables temporairement en erreur, rendant une partie des données orphelines.

listing donnees client mdf et ldf chiffrees en mkp

Listing des données prioritaires du client (.mdf et .ldf) chiffrées en .mkp

Notre pôle R&D a alors poussé le traitement un cran plus loin…

Une alternative concrète au paiement d’une rançon de 15 000 €

Grâce à cette approche chirurgicale qui affiche des résultats au moins 30% supérieurs à des logiciels de récupération classiques, le client a évité le chantage des attaquants.

Après une nouvelle avancée en R&D, notre outil de réparation affiche 149 tables et près de 400 000 lignes supplémentaires. Et pour chacune des données orphelines, une correspondance est proposée au client.

test de requete base de donnees fonctionnelle

Test de requête dans base de données fonctionnelle

Taux de récupération final : 100% des données en date du dernier backup valide (16/05/2026) remis avec un ZIP de l’intégralité de la récupération du drive snapshot (535 Gb).

test echantillon fichiers

En dépit du côté inédit du logiciel de backup SNA chiffré par MAKOP, rencontré par nos ingénieurs, ces derniers ont pu avoir 100% de récupération sur la base de données et 99.9% sur le reste des données. Le client a pu repartir avec l’intégralité de ces données à moins 2 semaines !

Le mot de l’ingénieur : Ce cas démontre qu’une base MS SQL chiffrée n’est pas définitivement perdue. Même si l’en-tête de la base de données est chiffré par le ransomware, notre expertise peut permettre de réparer les tables et lignes pour rendre une base à nouveau exploitable. Enfin, nous développons de plus en plus notre expertise sur les backup plus “niches” comme Drive Snapshot.

Face au rançongiciel MAKOP, cette victoire n’est pas un coup de chance, c’est le résultat d’une expertise pointue en Drive Snapshot et en récupération d’urgence.

Vos bases de données SQL sont chiffrées ou corrompues par un rançongiciel ? Comme pour ce cas complexe Drive Snapshot, nos ingénieurs R&D développent des solutions sur mesure pour récupérer vos données sans payer la rançon.

📞 Demander une analyse d’urgence de votre base de données :

Image de Clément Meunier
Clément Meunier

Partager cet article