logo SOS Ransomware
Urgence 24/7
Veeam Backups

Veeam Backup File Share chiffré par un ransomware : le récit d’une récupération de données réussie

Ce cas réel illustre comment une attaque sophistiquée peut contourner les protections les plus robustes, mais aussi comment une intervention experte peut permettre de récupérer l’essentiel des données. Voici le récit de cette course contre la montre.

Appelez-nous : (+33) 1 84 60 41 12
Demande d'intervention

Imaginez : il est 22h un vendredi soir, et une entreprise basée à Séoul, leader dans le domaine des ressources humaines, découvre avec horreur que l’intégralité de ses fichiers critiques a été chiffrée par un ransomware. Ces données, stockées sur un NAS centralisé, sont vitales pour les équipes de production et les services administratifs. Parmi elles, des fichiers de sauvegarde Veeam NAS, censées protéger l’entreprise contre ce type d’attaque. Pourtant, les cybercriminels ont réussi à accéder au NAS en tant qu’administrateur, chiffrant non seulement les fichiers métiers, mais aussi les sauvegardes elles-mêmes.

Contexte : une infrastructure critique sous attaque

Un NAS centralisé, cœur de l’activité

Le stockage de l’entreprise repose sur un NAS (Network Attached Storage) centralisant plus de 2 To de données, soit plus de 650 000 fichiers. Ce stockage sert à la fois aux opérations quotidiennes et aux archives stratégiques. Pour sécuriser ces données, l’entreprise avait mis en place Veeam NAS Backup, une solution réputée pour sa capacité à gérer des millions de fichiers sans ralentissement, et intégrant une protection contre les suppressions accidentelles et les ransomwares grâce à un système de versioning.

Veeam NAS Backup est optimisé pour les partages NFS et SMB, et offre une granularité fine dans la restauration des fichiers. Cependant, même les meilleures solutions ont leurs limites : si un attaquant obtient des droits d’administrateur sur le NAS, il peut chiffrer l’intégralité des données, y compris les sauvegardes.

L’attaque : un vendredi 15 août 2025 à 22h

C’est exactement ce qui s’est produit. Les cybercriminels ont exploité une faille pour accéder au NAS avec des privilèges d’aministrateur. Résultat : tous les fichiers, y compris les sauvegardes Veeam, ont été chiffrés. Les extensions .vblob, .vindex et .vslice – essentielles au fonctionnement des sauvegardes Veeam – ont été renommées et rendues illisibles.

veeam backup ransomware
Exemple de fichier Veeam share chiffrés par un ransomware

Face à cette situation, l’entreprise se retrouve dans une impasse :

  • Impossibilité d’accéder aux données : les fichiers sont chiffrés et leurs noms modifiés.
  • Urgence opérationnelle : chaque heure d’indisponibilité menace la continuité de l’activité.
  • Doute sur la récupération : les sauvegardes elles-mêmes sont corrompues.

Le défi : restaurer des sauvegardes chiffrées

Comprendre l’architecture des sauvegardes Veeam NAS

Avant de pouvoir agir, il est crucial de comprendre la structure des fichiers Veeam NAS Backup :

  • .vblob : ces fichiers contiennent les données brutes issues des sauvegardes du partage NAS.
  • .vindex : il s’agit de métadonnées binaires décrivant les noms et les versions des fichiers sauvegardés.
  • .vslice : ces fichiers décrivent l’allocation des données dans les .vblob.

Sans ces métadonnées, la restauration est quasi impossible. Pourtant, les équipes techniques de Recoveo (notre société) décident de relever le défi.

Une approche en deux volets

Pour maximiser les chances de succès, deux équipes sont mobilisées :

  1. L’équipe « Arborescence » : chargée de reconstruire la structure des dossiers et des fichiers.

L’équipe « Data » : focalisée sur l’extraction et la récupération des données brutes.

La solution : une intervention technique sur mesure

Étape 1 : Analyse de la structure des fichiers

La première étape consiste à analyser en profondeur la structure des fichiers chiffrés. Grâce à des outils d’analyse hexadécimale et de reverse engineering, les ingénieurs identifient des motifs récurrents dans les fichiers .vblob, .vindex et .vslice. Cette analyse permet de comprendre comment les données étaient organisées avant le chiffrement.

Les fichiers .vindex contiennent des en-têtes spécifiques qui, une fois décodés, révèlent des informations sur les noms de fichiers et leur hiérarchie.

veeam backup ransomware2
Notre outil d’analyse en action lors de nos recherches

Étape 2 : Développement d’un outil d’extraction propriétaire

Face à l’absence de solution clé en main, les ingénieurs développent un outil sur mesure capable de :

  • Parser les métadonnées : extraire les informations des fichiers .vindex et .vslice malgré leur chiffrement.
  • Reconstruire l’arborescence : retrouver la structure originale des dossiers.
  • Extraire les données brutes : récupérer le contenu des fichiers .vblob et les associer à leur nom d’origine.
veeam nas backup
Interface de notre outil d’extraction en cours d’extraction

Étape 3 : Tests de restauration

Avant de lancer une extraction massive, des tests sont réalisés sur des fichiers critiques (contrats, bases de données RH, documents administratifs). Ces tests valident :

  • L’intégrité des données : les fichiers restaurés sont testés  
  • La cohérence de l’arborescence : les dossiers et sous-dossiers sont correctement reconstruits. Le client nous a fourni une liste complète de son arborescence qui nous permet de comparer à notre résultat.

Étape 4 : Extraction et validation

Une fois l’outil finalisé, l’extraction est lancée. Les fichiers sont récupérés par lots, avec une vérification systématique de leur intégrité. Une liste détaillée des fichiers restaurés est générée pour permettre à l’entreprise de valider la complétude des données.

Résultats : 93 % des données récupérées en moins d’une semaine

Un succès au-delà des espérances

Contrairement aux pronostics initiaux, 93 % des données du Veeam NAS Backup ont été récupérées. Ce taux exceptionnel s’explique par :

  • La robustesse de l’outil développé : capable de contourner le chiffrement des métadonnées.
  • La redondance des informations : les fichiers .vblob contenaient suffisamment de redondance pour reconstruire une grande partie des données.
  • L’expertise des équipes : la combinaison de compétences en cybersécurité, développement et gestion de données a été déterminante.

Témoignage client

« Avec Recoveo, nous avons trouvé une solution pour récupérer nos données de notre Veeam NAS Backup. La restauration est quasi complète, et nous avons pu reprendre notre activité en moins d’une semaine. Cette intervention a sauvé des années de travail et évité une crise majeure pour notre entreprise. » — Yu-jun Chung, Expert IT

Leçon tirée de cette crise

L’importance d’un partenaire expert

Face à un ransomware, chaque minute compte. Faire appel à des experts en récupération de données peut faire la différence entre une reprise d’activité rapide et une perte irréversible.

Conclusion : une victoire contre le ransomware

Cette histoire montre qu’une attaque de ransomware, même dévastatrice, n’est pas toujours une fatalité. Grâce à une analyse technique poussée, un outil sur mesure et une collaboration étroite avec le client, il est possible de récupérer une grande partie des données.

Si votre entreprise est confrontée à une situation similaire, n’hésitez pas à nous contacter. Nos équipes sont prêtes à vous accompagner pour minimiser l’impact et restaurer vos données critiques.