logo SOS Ransomware
URGENCE 24/7

Fichier VHDX infecté par un ransomware : symptômes, impact et récupération

1️⃣ Contexte

Les fichiers VHDX sont des disques virtuels utilisés par Hyper-V, contenant souvent des systèmes d’exploitation complets ou des données critiques d’entreprise. Lorsqu’un ransomware infecte le système hôte ou le fichier VHDX lui-même, il peut chiffrer tout le contenu du disque virtuel, rendant l’ensemble des fichiers, applications et systèmes virtuels inaccessibles.

2️⃣ Symptômes d’un VHDX chiffré static ou dynamique

Les signes typiques d’un fichier VHDX compromis incluent :
  1. Inaccessibilité du disque virtuel :
    • Le fichier ne peut pas être monté dans Hyper-V.
    • Message d’erreur : “Le disque virtuel est corrompu ou illisible”.
  2. Modification de l’extension ou du nom du fichier :
    • Certains ransomwares renommant le fichier ou ajoutant des extensions type .locked, .anubis, .crypt.
  3. Augmentation ou diminution de la taille du fichier :
    • Après chiffrement, la taille peut légèrement changer en raison du processus de cryptage.
  4. Présence d’un fichier de rançon :
    • Note type README.txt ou RESTORE_FILES.html dans le répertoire contenant le VHDX.
  5. Blocage du système invité :
    • Même si Hyper-V tente de monter le disque, les fichiers internes sont illisibles ou corrompus.

3️⃣ Impact sur la récupération de données

La récupération de données depuis un VHDX chiffré dépend de plusieurs facteurs :

3.1 Type de ransomware

  • Si le ransomware utilise un chiffrement fort asymétrique (AES, RSA ou ECIES), le déchiffrement est possible mais demande de l’expertise.
  • Certains ransomwares incluent un wiper qui écrase le contenu du disque virtuel, rendant toute récupération classique impossible.

3.2 Intégrité du fichier VHDX

  • Si le fichier VHDX a été modifié ou tronqué, le disque virtuel peut devenir corrompu.
  • Hyper-V ne pourra pas reconnaître le disque ou les partitions.

3.3 Sauvegardes disponibles

  • Sauvegardes isolées (hors ligne, bande, snapshot immuable) peuvent permettre une récupération rapide.
  • Les VHDX stockés sur un NAS ou un serveur réseau peuvent avoir été également chiffrés si le ransomware a eu accès au réseau.

3.4 Complexité technique

  • Les VHDX contiennent souvent des systèmes de fichiers NTFS ou ReFS, qui demandent une reconstruction du système de fichiers avant d’accéder aux données.
  • Les outils standards de récupération de fichiers ne suffisent généralement pas.

4️⃣Outils et méthodes

  1. Restauration depuis sauvegarde
    • Veeam, Hyper-V Backup, Synology Hyper Backup, bandes LTO.
  2. Reconstruction manuelle du système de fichiers
    • Logiciels spécialisés (ScanX, R-Studio, Wondershare) pour BTRFS, ReFS, NTFS.
  3. Déchiffrement
    • Dépend du ransomware.
  4. Extraction sélective
Dans certains VHDX partiellement chiffrés, seuls certains fichiers peuvent être récupérés.

5️⃣Bonnes pratiques post-ransomware VHDX

    • Ne pas tenter d’ouvrir ou de réparer le VHDX par soi-même pour éviter d’aggraver la corruption.
    • Isoler le fichier VHDX sur un stockage sécurisé et hors réseau.
 
Faire intervenir un spécialiste de récupération de données post-ransomware.