logo SOS Ransomware
URGENCE 24/7

Fichier .MDF chiffré par un ransomware

1️⃣ Qu’est-ce qu’un fichier .MDF ?

Un fichier .MDF (Microsoft SQL Server Master Data File) est le fichier principal d’une base de données SQL Server. Il contient :

  • Les données utilisateur (tables, vues, procédures stockées)
  • La structure et l’indexation
  • Les informations essentielles à la reconstruction de la base

Le fichier .MDF est souvent accompagné d’un fichier .LDF (log de transactions) qui enregistre toutes les modifications. La perte ou la corruption d’un fichier .MDF peut entraîner l’inaccessibilité totale de la base de données SQL.

2️⃣ Symptômes d’un fichier .MDF chiffré par ransomware

Lorsqu’un ransomware cible des fichiers .MDF, plusieurs signes apparaissent :
  1. Chiffrement du fichier
    • Extension modifiée : .MDF.locked, .MDF.anubis, ou autre selon le ransomware
    • Impossibilité d’ouvrir le fichier dans SQL Server
  2. Message de rançon
    • Fichier texte ou HTML laissé par le ransomware dans le dossier : instructions pour paiement
    • Nom de fichier souvent identique pour tous les fichiers chiffrés
  3. Base de données inaccessible
    • SQL Server renvoie des erreurs : “Cannot open database …. The physical file may be missing or corrupt”
    • Les transactions ne sont plus enregistrables
  4. Symptômes secondaires
    • Serveur SQL instable ou lenteur extrême
    • Journaux de transaction (.LDF) non synchronisés
    • Sauvegardes locales parfois supprimées ou chiffrées

3️⃣ Impact sur la récupération des données

La récupération d’un fichier .MDF chiffré dépend de plusieurs facteurs :
  1. Type de ransomware
    • Les ransomware classiques chiffrent le fichier sans l’effacer
    • Les ransomware destructeurs peuvent écraser ou supprimer le contenu → récupération quasi impossible
  2. Disponibilité des fichiers de sauvegarde
    • Sauvegarde non chiffrée et hors ligne : récupération rapide
    • Sauvegarde en réseau : risque que le ransomware ait chiffré aussi les copies
  3. État du fichier
    • Fichier entièrement chiffré : nécessite reconstruction via backup
    • Fichier partiellement corrompu : outils spécialisés peuvent tenter l’extraction des données intactes
  4. Complexité du format SQL
    • MDF contient des structures internes complexes (pages, index, tables)
    • Les outils de récupération doivent reconstruire les pages pour que la base soit fonctionnelle

4️⃣Bonnes pratiques après chiffrement de fichiers .MDF

  1. Isolation immédiate
    • Déconnecter le serveur SQL du réseau
  2. Ne pas tenter de restauration directement
    • Éviter de redémarrer SQL Server ou de restaurer sur un fichier chiffré → risque d’écrasement des pages intactes
  3. Identifier la variante de ransomware
    • Permet de déterminer si un outil de déchiffrement existe
  4. Faire appel à un expert en récupération post-ransomware
Pour fichiers MDF corrompus, reconstruction page par page

Conclusion

Un fichier .MDF chiffré par un ransomware constitue une urgence critique :
  • Symptômes : base inaccessible, extensions modifiées, erreur SQL Server
  • Impact : dépend de la nature du ransomware
Risque maximal : perte définitive de données si le fichier est détruit ou si aucune sauvegarde fiable n’existe