Fichier .MDF chiffré par un ransomware

1️⃣ Qu’est-ce qu’un fichier .MDF ?

Un fichier .MDF (Microsoft SQL Server Master Data File) est le fichier principal d’une base de données SQL Server. Il contient :

  • Les données utilisateur (tables, vues, procédures stockées)
  • La structure et l’indexation

     

  • Les informations essentielles à la reconstruction de la base

     

Le fichier .MDF est souvent accompagné d’un fichier .LDF (log de transactions) qui enregistre toutes les modifications. La perte ou la corruption d’un fichier .MDF peut entraîner l’inaccessibilité totale de la base de données SQL.

2️⃣ Symptômes d’un fichier .MDF chiffré par ransomware

Lorsqu’un ransomware cible des fichiers .MDF, plusieurs signes apparaissent :

  1. Chiffrement du fichier

    • Extension modifiée : .MDF.locked, .MDF.anubis, ou autre selon le ransomware

    • Impossibilité d’ouvrir le fichier dans SQL Server

  2. Message de rançon

    • Fichier texte ou HTML laissé par le ransomware dans le dossier : instructions pour paiement

    • Nom de fichier souvent identique pour tous les fichiers chiffrés

  3. Base de données inaccessible

    • SQL Server renvoie des erreurs : “Cannot open database …. The physical file may be missing or corrupt”

    • Les transactions ne sont plus enregistrables

  4. Symptômes secondaires

    • Serveur SQL instable ou lenteur extrême

    • Journaux de transaction (.LDF) non synchronisés

Sauvegardes locales parfois supprimées ou chiffrées

3️⃣ Impact sur la récupération des données

La récupération d’un fichier .MDF chiffré dépend de plusieurs facteurs :

  1. Type de ransomware

    • Les ransomware classiques (LockBit, BlackCat) chiffrent le fichier sans l’effacer → récupération possible si clé de déchiffrement ou backup disponible

    • Les ransomware destructeurs (Anubis, Thanos) peuvent écraser ou supprimer le contenu → récupération quasi impossible

  2. Disponibilité des fichiers de sauvegarde

    • Sauvegarde non chiffrée et hors ligne : récupération rapide

    • Sauvegarde en réseau : risque que le ransomware ait chiffré aussi les copies

  3. État du fichier

    • Fichier entièrement chiffré : nécessite reconstruction via backup

    • Fichier partiellement corrompu : outils spécialisés peuvent tenter l’extraction des données intactes

  4. Complexité du format SQL

    • MDF contient des structures internes complexes (pages, index, tables)

    • Les outils de récupération doivent reconstruire les pages pour que la base soit fonctionnelle

Impact sur la récupération :

  • Sans backup : récupération quasi impossible, même avec outils de décryptage

  • Avec backup isolé : récupération rapide, restauration complète possible

Fichier partiellement corrompu : récupération partielle de tables et enregistrements

4️⃣ Temps pour récupérer les données

Le temps de récupération dépend de :

Situation

Estimation temps

Backup isolé disponible (Veeam, Hyper-V, NAS hors ligne)

Quelques heures à 1 jour

Fichier MDF chiffré avec clé connue (décryptage via outil officiel)

1 à 3 heures pour un serveur standard

Fichier MDF partiellement corrompu / ransomware destructeur

Plusieurs jours à semaines selon taille et complexité

Fichier MDF seul, sans backup ni logs

Probablement irréversible

Facteurs influents :

  • Taille de la base (MDF de 20 Go vs 2 To)

  • Nombre de fichiers MDF liés (bases multiples)

  • Complexité transactionnelle (bases avec milliers de transactions par seconde)

Disponibilité des logs LDF pour reconstruction des transactions

5️⃣ Bonnes pratiques après chiffrement de fichiers .MDF

  1. Isolation immédiate

    • Déconnecter le serveur SQL du réseau pour éviter la propagation

  2. Ne pas tenter de restauration directement

    • Éviter de redémarrer SQL Server ou de restaurer sur un fichier chiffré → risque d’écrasement des pages intactes

  3. Identifier la variante de ransomware

    • Permet de déterminer si un outil de déchiffrement existe

    • Précaution : certains ransomwares annoncent une extension, mais le chiffrage peut être plus complexe

  4. Prioriser les sauvegardes hors ligne

    • Vérifier les sauvegardes Veeam, Hyper-V, NAS ou bandes LTO

    • Évaluer l’intégrité avant restauration

  5. Faire appel à un expert en récupération post-ransomware

    • Pour fichiers MDF corrompus, reconstruction page par page

    • Utilisation d’outils spécialisés (ScanX, Stellar Repair for MS SQL, ApexSQL Recover, etc.)

6️⃣ Conclusion

Un fichier .MDF chiffré par un ransomware constitue une urgence critique :
  • Symptômes : base inaccessible, extensions modifiées, erreur SQL Server
  • Impact : dépend de l’existence de backup isolé et de la nature du ransomware
  • Temps de récupération : de quelques heures à plusieurs semaines selon situation
  • Risque maximal : perte définitive de données si le fichier est détruit ou si aucune sauvegarde fiable n’existe

La récupération d’un fichier MDF chiffré par ransomware est fortement dépendante de l’existence de sauvegardes isolées. La rapidité d’intervention et la bonne identification du ransomware influencent directement le succès de la restauration.