Fichier .MDF chiffré par un ransomware
1️⃣ Qu’est-ce qu’un fichier .MDF ?
Un fichier .MDF (Microsoft SQL Server Master Data File) est le fichier principal d’une base de données SQL Server. Il contient :
- Les données utilisateur (tables, vues, procédures stockées)
- La structure et l’indexation
- Les informations essentielles à la reconstruction de la base
Le fichier .MDF est souvent accompagné d’un fichier .LDF (log de transactions) qui enregistre toutes les modifications. La perte ou la corruption d’un fichier .MDF peut entraîner l’inaccessibilité totale de la base de données SQL.
2️⃣ Symptômes d’un fichier .MDF chiffré par ransomware
Lorsqu’un ransomware cible des fichiers .MDF, plusieurs signes apparaissent :
- Chiffrement du fichier
- Extension modifiée : .MDF.locked, .MDF.anubis, ou autre selon le ransomware
- Impossibilité d’ouvrir le fichier dans SQL Server
- Extension modifiée : .MDF.locked, .MDF.anubis, ou autre selon le ransomware
- Message de rançon
- Fichier texte ou HTML laissé par le ransomware dans le dossier : instructions pour paiement
- Nom de fichier souvent identique pour tous les fichiers chiffrés
- Fichier texte ou HTML laissé par le ransomware dans le dossier : instructions pour paiement
- Base de données inaccessible
- SQL Server renvoie des erreurs : “Cannot open database …. The physical file may be missing or corrupt”
- Les transactions ne sont plus enregistrables
- SQL Server renvoie des erreurs : “Cannot open database …. The physical file may be missing or corrupt”
- Symptômes secondaires
- Serveur SQL instable ou lenteur extrême
- Journaux de transaction (.LDF) non synchronisés
- Serveur SQL instable ou lenteur extrême
3️⃣ Impact sur la récupération des données
La récupération d’un fichier .MDF chiffré dépend de plusieurs facteurs :
- Type de ransomware
- Les ransomware classiques (LockBit, BlackCat) chiffrent le fichier sans l’effacer → récupération possible si clé de déchiffrement ou backup disponible
- Les ransomware destructeurs (Anubis, Thanos) peuvent écraser ou supprimer le contenu → récupération quasi impossible
- Les ransomware classiques (LockBit, BlackCat) chiffrent le fichier sans l’effacer → récupération possible si clé de déchiffrement ou backup disponible
- Disponibilité des fichiers de sauvegarde
- Sauvegarde non chiffrée et hors ligne : récupération rapide
- Sauvegarde en réseau : risque que le ransomware ait chiffré aussi les copies
- Sauvegarde non chiffrée et hors ligne : récupération rapide
- État du fichier
- Fichier entièrement chiffré : nécessite reconstruction via backup
- Fichier partiellement corrompu : outils spécialisés peuvent tenter l’extraction des données intactes
- Fichier entièrement chiffré : nécessite reconstruction via backup
- Complexité du format SQL
- MDF contient des structures internes complexes (pages, index, tables)
- Les outils de récupération doivent reconstruire les pages pour que la base soit fonctionnelle
- MDF contient des structures internes complexes (pages, index, tables)
Impact sur la récupération :
- Sans backup : récupération quasi impossible, même avec outils de décryptage
- Avec backup isolé : récupération rapide, restauration complète possible
4️⃣ Temps pour récupérer les données
Le temps de récupération dépend de :
Situation | Estimation temps |
Backup isolé disponible (Veeam, Hyper-V, NAS hors ligne) | Quelques heures à 1 jour |
Fichier MDF chiffré avec clé connue (décryptage via outil officiel) | 1 à 3 heures pour un serveur standard |
Fichier MDF partiellement corrompu / ransomware destructeur | Plusieurs jours à semaines selon taille et complexité |
Fichier MDF seul, sans backup ni logs | Probablement irréversible |
Facteurs influents :
- Taille de la base (MDF de 20 Go vs 2 To)
- Nombre de fichiers MDF liés (bases multiples)
- Complexité transactionnelle (bases avec milliers de transactions par seconde)
5️⃣ Bonnes pratiques après chiffrement de fichiers .MDF
- Isolation immédiate
- Déconnecter le serveur SQL du réseau pour éviter la propagation
- Déconnecter le serveur SQL du réseau pour éviter la propagation
- Ne pas tenter de restauration directement
- Éviter de redémarrer SQL Server ou de restaurer sur un fichier chiffré → risque d’écrasement des pages intactes
- Éviter de redémarrer SQL Server ou de restaurer sur un fichier chiffré → risque d’écrasement des pages intactes
- Identifier la variante de ransomware
- Permet de déterminer si un outil de déchiffrement existe
- Précaution : certains ransomwares annoncent une extension, mais le chiffrage peut être plus complexe
- Permet de déterminer si un outil de déchiffrement existe
- Prioriser les sauvegardes hors ligne
- Vérifier les sauvegardes Veeam, Hyper-V, NAS ou bandes LTO
- Évaluer l’intégrité avant restauration
- Vérifier les sauvegardes Veeam, Hyper-V, NAS ou bandes LTO
- Faire appel à un expert en récupération post-ransomware
- Pour fichiers MDF corrompus, reconstruction page par page
- Utilisation d’outils spécialisés (ScanX, Stellar Repair for MS SQL, ApexSQL Recover, etc.)
- Pour fichiers MDF corrompus, reconstruction page par page
6️⃣ Conclusion
Un fichier .MDF chiffré par un ransomware constitue une urgence critique :- Symptômes : base inaccessible, extensions modifiées, erreur SQL Server
- Impact : dépend de l’existence de backup isolé et de la nature du ransomware
- Temps de récupération : de quelques heures à plusieurs semaines selon situation
- Risque maximal : perte définitive de données si le fichier est détruit ou si aucune sauvegarde fiable n’existe
La récupération d’un fichier MDF chiffré par ransomware est fortement dépendante de l’existence de sauvegardes isolées. La rapidité d’intervention et la bonne identification du ransomware influencent directement le succès de la restauration.