logo SOS Ransomware
URGENCE 24/7

Fichiers .BAK chiffrés par un ransomware

1️⃣ Présentation du problème

Les fichiers .BAK sont des fichiers de sauvegarde créés par des applications ou des bases de données (ex. SQL Server, MySQL, logiciels ERP). Ils sont destinés à restaurer des données en cas de panne ou de corruption.

Lorsque ces fichiers sont infectés par un ransomware, ils subissent généralement un chiffrement ou une corruption. Ce chiffrement rend impossible l’accès aux données sans la clé correspondante.

2️⃣ Symptômes d’un fichier .BAK infecté

  1. Extension modifiée

    • Le ransomware peut renommer le fichier : ex. db_backup.bak → db_backup.bak.lockbit ou db_backup.bak.anubis.

  2. Taille inchangée mais contenu illisible

    • Le fichier semble normal en taille, mais le contenu est crypté.

  3. Impossibilité de l’ouvrir

    • Les logiciels habituels de lecture de .BAK renvoient une erreur de format ou refusent l’ouverture.

  4. Présence d’une note de rançon

    • Un fichier HTML ou TXT est laissé dans le même dossier pour informer de l’attaque.

  5. Corruption partielle si le ransomware a combiné chiffrement + suppression

    • Certains ransomware détruisent le header ou les blocs critiques, rendant la récupération classique quasi impossible.

3️⃣ Impact sur la récupération des données

3.1 Complexité technique

  • Les fichiers .BAK sont souvent volumineux (plusieurs Go).

  • S’ils sont chiffrés par un ransomware moderne (ex. ECIES, AES-256 avec clé unique), les outils classiques de récupération ne peuvent pas déchiffrer.

  • Les fichiers .BAK n’étant pas destinés à être chiffrés, le malware peut corrompre les métadonnées internes, ce qui complique le décryptage ou la reconstruction.

3.2 Risque de perte totale

  • Si la clé de chiffrement est unique et non brute‑forcée, la récupération sans payer la rançon est quasi impossible.

  • Si le fichier .BAK est sur un NAS ou une sauvegarde réseau, et que le ransomware a atteint le volume complet, toutes les copies peuvent être compromises.

3.3 Dépendance à la sauvegarde

  • Les fichiers .BAK chiffrés ou corrompus doivent être restaurés à partir de copies non compromises, idéalement hors ligne ou déconnectées du réseau.

Si aucune copie saine n’existe, il faut recourir à des techniques de forensic avancées, mais le succès n’est pas garanti.

4️⃣ Temps nécessaire pour récupérer les données

Le temps de récupération dépend de plusieurs facteurs :

Facteur

Impact sur le temps

Taille du fichier .BAK

Plus le fichier est volumineux, plus la récupération est longue (heures à jours pour des fichiers > 100 Go)

Type de chiffrement

Chiffrement robuste (AES‑256, ECIES) = récupération impossible sans clé ; chiffrement faible = récupération plus rapide

Nombre de fichiers et redondance

Plusieurs .BAK chiffrés ou corrompus = plus de temps pour reconstruction

État des sauvegardes

Sauvegardes intactes = récupération rapide (heures) ; aucune sauvegarde = récupération avancée et longue (jours à semaines)

Expertise technique

Équipes spécialisées = optimisation du temps et minimisation des pertes ; méthodes DIY = échec ou délai très long

En pratique :

  • Avec copies saines hors ligne, un fichier .BAK de 20 Go peut être restauré en moins de 1 à 3 heures.

Sans copie, utilisant uniquement des techniques de forensic ou des outils de récupération avancés, la récupération peut prendre plusieurs jours à semaines, et le taux de succès peut être très limité.

5️⃣ Bonnes pratiques post-infection

  1. Ne pas manipuler le fichier .BAK

    • Éviter d’ouvrir, copier ou tenter de modifier le fichier, car cela peut corrompre davantage le contenu.

  2. Isoler le support

    • Déconnecter le disque ou le NAS du réseau pour empêcher une propagation ultérieure du ransomware.

  3. Analyser la nature du ransomware

    • Identifier le type et le groupe de ransomware permet de savoir si un outil de déchiffrement existe.

  4. Évaluer les sauvegardes

    • Vérifier l’existence de copies hors ligne ou sur des volumes non impactés.

  5. Faire appel à des experts

Les sociétés spécialisées peuvent parfois récupérer des fichiers .BAK même partiellement corrompus grâce à des outils forensic avancés et à des réparations manuelles des structures de fichiers.

6️⃣ Synthèse

  • Symptômes : extension modifiée, fichier illisible, note de rançon, corruption possible.

  • Impact sur la récupération : dépend du chiffrement, du volume et de l’état des sauvegardes. Le fichier .BAK chiffré sans copie saine peut être irréversible.

  • Temps de récupération :

    • Avec sauvegarde intacte : heures

    • Sans sauvegarde : jours à semaines, taux de succès faible

Mesures immédiates : isolation du support, analyse du ransomware, recours à une expertise spécialisée.