logo SOS Ransomware
Urgence 24/7

Récupération de données suite à une attaque ransomware sur un NAS Synology (Hyper Backup)

Un architecte colombien nous a récemment sollicités après une attaque informatique particulièrement destructive sur son système de stockage Synology.

Les assaillants n’avaient pas simplement chiffré ses données comme le font traditionnellement les ransomwares, mais avaient également réinitialisé les disques de son RAID et formaté son disque de sauvegarde externe.

Confrontée à cette situation critique où le support Synology et les outils de récupération conventionnels s’étaient révélés insuffisants, notre équipe a dû mettre en œuvre des solutions techniques spécialisées.

Cette étude de cas documente le processus complet de récupération qui nous a permis de restaurer 580 Go de données professionnelles (411 000 fichiers dans 79 417 dossiers) à partir de supports considérés comme irrémédiablement compromis.

Elle analyse les défis techniques spécifiques rencontrés avec le système de fichiers BTRFS et le format propriétaire d’Hyper Backup, tout en présentant les méthodologies avancées qui ont permis ce résultat.

Nous examinerons également les implications pratiques de cette intervention pour la sécurisation des infrastructures de stockage et de sauvegarde, dans un contexte où les attaques informatiques ciblent désormais délibérément les mécanismes de protection des données.

L’incident : une attaque méticuleuse

Notre histoire commence, en effet, lorsqu’un architecte colombien nous contacte suite à une attaque de ransomware particulièrement agressive.

Contrairement aux attaques classiques qui se contentent de chiffrer les données et demander une rançon, les cybercriminels avaient opté pour une approche plus radicale : ils avaient réinitialisé complètement les disques du RAID et effacé les données du disque externe USB (USB COPY) qui servait de sauvegarde.

Cette situation plaçait la victime dans une position extrêmement précaire, car même sa solution de secours avait été ciblée, démontrant la sophistication croissante des attaques actuelles qui visent délibérément les mécanismes de sauvegarde pour maximiser les chances d’obtenir le paiement d’une rançon.

Les premières tentatives infructueuses

Avant de nous contacter, l’architecte avait déjà tenté une approche logique pour récupérer ses données. Il avait notamment essayé d’utiliser PhotoRec, un logiciel de récupération de données gratuit et open source, réputé pour sa capacité à récupérer des fichiers perdus. Malheureusement, ces tentatives s’étaient soldées par un échec.

Devant cette impasse, il s’était également tourné vers le support technique officiel de Synology, et malgré l’escalade de son dossier vers des niveaux de support supérieurs, aucune solution n’avait été trouvée.

Il s’agissait là d’un cas particulièrement complexe qui dépassait les procédures standard de récupération, et qui nécessitait des compétences et des outils spécialisés.

Notre intervention : analyse initiale

Lorsque le client nous a contactés, nous avons reçu deux disques pour analyse :

  • Une copie (image du disque externe de 1 To) qui contenait les sauvegardes Hyper Backup
  • Un des disques du RAID1 de 4 To formaté en BTRFS

Cette configuration nous a immédiatement éclairés sur la complexité du cas. D’une part, nous faisions face à un système de fichiers BTRFS, réputé pour sa robustesse mais également pour la difficulté de récupération de données en cas de corruption. D’autre part, nous devions analyser une sauvegarde Hyper Backup potentiellement altérée.

Première approche : récupération depuis le disque RAID

Notre première analyse s’est donc concentrée sur le disque de 4 To configuré en RAID1 avec système de fichiers BTRFS. Nous avons réussi à extraire des fichiers, ce qui était une bonne nouvelle en soi. Cependant, nous avons rapidement identifié une limitation majeure : les noms de fichiers ainsi que la structure des répertoires étaient perdus.

Cette situation est caractéristique des récupérations sur BTRFS après une corruption importante. Ce système de fichiers moderne utilise une approche fondamentalement différente des systèmes traditionnels, en séparant les métadonnées (noms, chemins, dates, etc.) des données elles-mêmes. Lorsque les métadonnées sont corrompues, il est souvent possible de récupérer les données brutes, mais sans leurs attributs essentiels.

Bien que techniquement réussie, cette approche aurait nécessité un temps considérable pour la réorganisation et l’identification des fichiers. Pour un architecte ayant besoin d’accéder rapidement à des projets spécifiques, cette solution n’était pas optimale.

Seconde approche : analyse de la sauvegarde Hyper Backup

Nous avons donc tourné notre attention vers le disque externe de 1 To contenant les sauvegardes Hyper Backup. Notre analyse a permis de mettre en évidence environ 580 Go de données sous forme de fichiers BUCKET et INDEX, caractéristiques du format de sauvegarde propriétaire d’Hyper Backup.

Bucket index files, Synology Nas Hyper Backup
Fichiers en .index et .bucket
Bkpi hbk files, Synology Nas Hyper Backup
Fichiers .bkpi et .hbk

La première tentative utilisant l’utilitaire officiel Synology Hyper Backup Explorer s’est heurtée à un message d’erreur sans équivoque : « Les données stockées dans la destination de sauvegarde sont altérées » (en anglais : « stored data on the backup destination are corrupted »).

Synology hyper backup altered data
Les données stockées dans la destination de sauvegarde sont altérées
Données partiellement copiées
Fichier/dossier partiellement copié ou restauré

Ce message confirmait nos premières intuitions : l’attaque avait non seulement affecté les données primaires, mais avait également compromis l’intégrité des sauvegardes. Dans de nombreux cas, ce type de situation représente un obstacle insurmontable avec les outils standards.

La solution : développement d’outils propriétaires spécialisés

Pour contourner ce type d’impasse, notre équipe d’ingénieurs a mis en œuvre une solution développée en interne : notre outil Synology Backup Extractor. Cet outil propriétaire a été spécialement conçu pour faire face aux situations où les outils officiels échouent en raison de corruptions partielles des sauvegardes Hyper Backup.

Synology Backup Extractor Recoveo
Synology Backup Extractor by Recoveo

L’analyse technique de la situation a révélé plusieurs défis spécifiques :

  1. Compression activée : la sauvegarde utilisait la compression, une fonctionnalité qui optimise l’espace disque mais complique significativement la récupération en cas de corruption.
  2. Fichiers .bucket et .index corrompus : ces fichiers constituent l’architecture de la sauvegarde Hyper Backup, et leur altération compromet l’accès aux données sous-jacentes.
  3. Accès partiel avec Hyper Backup Explorer : l’outil officiel parvenait à récupérer environ 75 Go sur les 500 Go présents, mais s’arrêtait régulièrement avec des erreurs, affichant le message « Partially copied the file/folder ».

Notre approche a consisté à reconstruire les mappages d’adressage des fichiers et des dossiers pour contourner les sections corrompues des métadonnées. Cette méthode, extrêmement technique, a nécessité une compréhension approfondie de la structure interne du format de sauvegarde d’Hyper Backup.

Résultats : une récupération en succès des données

Grâce à notre approche spécialisée, nous avons pu atteindre des résultats particulièrement satisfaisants :

  • Récupération de 580 Go de données
  • Restauration de 411 000 fichiers répartis dans 79 417 dossiers
  • Préservation de la structure hiérarchique originale des dossiers
  • Récupération des noms de fichiers d’origine

Cette réussite contraste fortement avec les tentatives précédentes qui n’avaient permis de récupérer que 75 Go de données avec l’outil officiel Hyper Backup Explorer, soit environ 15% du volume total des données présentes.

Pour notre client architecte, cette différence était cruciale. Il a ainsi pu retrouver l’accès à l’ensemble de ses projets professionnels, incluant plans, rendus 3D, documents contractuels et communications avec les clients – des données essentielles à la continuité de son activité.

Leçons tirées et recommandations

Ce cas, bien qu’extrême, met en lumière plusieurs aspects importants de la gestion des données professionnelles :

1. Les limites des outils standard

Les outils de récupération grand public comme PhotoRec, bien que puissants dans certains contextes, montrent leurs limites face à des situations complexes impliquant des systèmes de fichiers avancés comme BTRFS ou des formats propriétaires comme celui d’Hyper Backup.

De même, le support technique des fabricants, même excellent, dispose rarement des outils ultra-spécialisés nécessaires pour traiter les cas les plus sévères de corruption de données.

2. L’importance de la sécurisation des sauvegardes

Les cybercriminels ciblent désormais délibérément les systèmes de sauvegarde, conscients de leur valeur stratégique. Il est donc indispensable de mettre en place des mécanismes qui protègent non seulement vos données principales, mais également vos sauvegardes :

  • Sauvegardes déconnectées (air gap)
  • Sauvegardes en lecture seule
  • Authentification multifacteur pour l’accès aux systèmes de sauvegarde
  • Vérifications régulières de l’intégrité des sauvegardes

3. La règle du 3-2-1 pour les sauvegardes

Cette situation illustre parfaitement pourquoi la règle du 3-2-1 en matière de sauvegarde est essentielle :

  • 3 copies de vos données
  • Sur 2 types de supports différents
  • Avec 1 copie conservée hors site

Dans le cas présent, notre client disposait bien d’une sauvegarde externe, mais celle-ci était connectée au système principal et donc vulnérable à la même attaque.

4. Le développement d’outils spécialisés

Ce cas démontre l’importance vitale du développement d’outils spécialisés pour la récupération de données.

Notre Synology Backup Extractor est né précisément de ce besoin d’aller au-delà des capacités des outils standard pour répondre à des situations exceptionnelles.

Bilan de cette récupération de données sur NAS Synology

La récupération des données de cet architecte colombien représente un exemple frappant des défis complexes que posent les attaques de ransomware modernes, en particulier lorsqu’elles ciblent délibérément les mécanismes de sauvegarde, y compris avec des systèmes de sauvegardes avancés comme ceux présents sur les Nas Synology.

Devant une situation que même le support technique du fabricant considérait comme irrécupérable, notre approche combinant expertise technique et outils propriétaires spécialement développés a permis de sauver plus de 580 Go de données professionnelles critiques.

Ce cas rappelle que dans le domaine de la récupération de données, les situations les plus désespérées peuvent souvent trouver une solution grâce à l’innovation technique et à l’expertise spécialisée. Il souligne également l’importance opérationnelle d’une stratégie de sauvegarde robuste, diversifiée et sécurisée, particulièrement dans un environnement où les attaques informatiques deviennent toujours plus sophistiquées.

Si vous rencontrez une situation similaire avec un NAS Synology compromis ou des sauvegardes Hyper Backup corrompues, n’hésitez pas à consulter notre page dédiée à la récupération de données sur les NAS Synology pour découvrir des informations complémentaires sur nos services.

Pour plus d’information ou en cas d’urgence prenez contact avec nous. Notre cellule d’urgence est mobilisable 24/7/365.

Contacter nos experts
Image de Florent Chassignol
Florent Chassignol
Attiré très jeune par l'informatique, je suis aujourd'hui Fondateur et CEO de Recoveo, leader français de la récupération de données. Vous êtes victime d'un ransomware, votre serveur est HS, votre téléphone a plongé dans la piscine ? Nous sommes là pour vous !

Partager cet article

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Copyright © 2025 Recoveo | Réalisation par Tell It