logo SOS Ransomware
Emergencia 24/7

Recuperación de bases de datos MS SQL Server en máquinas virtuales VHDX dinámicas cifradas por ransomware

Gestionamos todo tipo de bases de datos, en todos sus soportes profesionales, las 24 horas del día, los 7 días de la semana.

Llámenos: (+33) 1 84 60 41 12
Experiencia Especializada

Reparación de archivos .MDF, .NDF y .LDF, así como de instancias cifradas, tablas e índices corruptos. Experiencia en todas las versiones (SQL Server 2012 a 2022)

Enfoque a Medida

Soluciones personalizadas, adaptadas a las necesidades específicas de su empresa.

Seguridad de los Datos

Transferencias seguras Laboratorio francés independiente desde hace más de 20 años.

Contexto de la intervención

Una PYME danesa especializada en el suministro de equipos técnicos para farmacéuticos contactó con Recoveo tras el cifrado de sus datos por un ransomware. Ante la urgencia operativa, el director de la empresa se desplazó personalmente a nuestras instalaciones para entregarnos los soportes afectados.

Elementos técnicos recibidos

un fichier .MDF de 15 Go. Tres archivos VHDX fueron enviados a nuestro laboratorio dentro de las siguientes Máquinas Virtuales (VM):
  • VM DK: máquina virtual cifrada que contenía las bases de datos críticas
  • VM NL: máquina virtual cifrada acompañada de una copia de seguridad de 8 meses de antigüedad
  • Tratamiento de la VM NL: nuestros equipos lograron reconstruir los datos hasta su estado actual en menos de 24 horas.
Tratamiento de la VM DK: esta máquina virtual constituía el núcleo de la intervención. El cliente deseaba recuperar dos bases de datos Microsoft SQL Server: un archivo .MDF de 16 MB y un archivo .MDF de 15 GB.
image base de donnees hexadecimal corrompu

El archivo de 16 MB fue restaurado ese mismo día. El archivo de 15 GB requirió un procedimiento de investigación avanzada.

Dificultades técnicas encontradas

Fallo de las herramientas de recuperación estándar

Nuestros equipos probaron cuatro soluciones de software que normalmente funcionan en casos clásicos. Sin embargo, los archivos extraídos resultaron estar corruptos e inutilizables.

Particularidad de las máquinas virtuales dinámicas

El formato VHDX dinámico se basa en una tabla de asignación que referencia la ubicación de cada bloque de datos dentro del archivo. En este caso concreto, el ransomware destruyó menos del 0,5 % del inicio de la máquina virtual, precisamente la zona que contiene esta tabla. Aunque el daño fue mínimo en volumen, hizo técnicamente imposible cualquier recuperación mediante métodos convencionales.
image base de donnees hexadecimal chiffrées 2

Este tipo de daño en un VHDX dinámico sigue estando poco documentado en la literatura especializada, lo que hizo que la fase de diagnóstico fuera especialmente compleja.

Procedimiento avanzado de recuperación

Activación de la célula de I+D

Ante el fracaso de los enfoques estándar, se movilizó la célula de Investigación y Desarrollo de Recoveo. Tres ingenieros trabajaron simultáneamente en el caso con el objetivo de adaptar nuestras herramientas propietarias a esta situación inédita.

Resultado intermedio

Tras 72 horas de investigación, uno de los ingenieros identificó un método de reconstrucción parcial de las estructuras internas de la base de datos, lo que permitió recuperar el 90 % de las tablas.

Entrega y validación

Se produjeron tres versiones iterativas del archivo reconstruido con el fin de maximizar la cobertura de recuperación. Se instaló una plataforma de pruebas para la validación. En menos de una hora, el cliente confirmó que la tabla principal de la base de datos había sido recuperada al 100 % desde la primera versión entregada, permitiendo una reanudación inmediata de la actividad.
Activación de la célula de I+D

Ante el fracaso de los enfoques estándar, se movilizó la célula de Investigación y Desarrollo de Recoveo. Tres ingenieros trabajaron simultáneamente en el caso con el objetivo de adaptar nuestras herramientas propietarias a esta situación inédita.

Resultado intermedio

Tras 72 horas de investigación, uno de los ingenieros identificó un método de reconstrucción parcial de las estructuras internas de la base de datos, lo que permitió recuperar el 90 % de las tablas.

Entrega y validación

Se produjeron tres versiones iterativas del archivo reconstruido con el fin de maximizar la cobertura de recuperación. Se instaló una plataforma de pruebas para la validación. En menos de una hora, el cliente confirmó que la tabla principal de la base de datos había sido recuperada al 100 % desde la primera versión entregada, permitiendo una reanudación inmediata de la actividad.

Puntos clave

Elemento Resultado
VM NL — archivo MDF de 8 GB Recuperado en < 24 h
VM DK — archivo MDF de 16 MB Recuperado el mismo día
VM DK — archivo MDF de 15 GB Tabla principal recuperada al 100 %
Duración total de I&D 72 horas

Conclusiones clave

Este caso ilustra un problema creciente: los ransomware ahora atacan zonas precisas y estratégicas de los sistemas de archivos virtuales, haciendo ineficaces las herramientas de recuperación genéricas. La capacidad de adaptar herramientas a medida para casos no documentados constituye un diferenciador técnico esencial.

Este tipo de intervención que moviliza a la célula de I+D representa entre 4 y 5 casos al año en Recoveo.

Solicite una evaluación

Tras recibir su solicitud, organizaremos una llamada técnica con nuestros ingenieros.