logo SOS Ransomware
URGENCE 24/7

VMDK chiffré par ransomware

1️⃣ Symptômes d’un VMDK chiffré par ransomware

Les fichiers VMDK (Virtual Machine Disk) sont les disques virtuels utilisés par VMware et d’autres solutions de virtualisation. Lorsqu’un ransomware les cible :

  • Modification de l’extension du fichier
     Exemple : .vmdk → .vmdk.locked, .vmdk.anubis, .vmdk.crypt
    Le ransomware renomme le fichier pour signaler le chiffrement.
  • Inaccessibilité de la machine virtuelle
     Le VM ne démarre plus. VMware ou vSphere affichera des erreurs du type :
    • “VMware cannot open the virtual disk”
    • “Failed to open the virtual disk: the file is corrupted or encrypted”
  • Corruption visible dans les snapshots
     Les snapshots associés peuvent être inutilisables si le ransomware chiffre également les fichiers .vmsn ou .vmsd.
  • Présence de notes de rançon
     Dans le même dossier, un fichier texte ou HTML indique le montant de la rançon, l’adresse de contact et le mode de paiement.

Logs VM impactés
 Les fichiers journaux .log peuvent contenir des entrées d’erreurs liées au montage ou à la lecture du disque.

2️⃣ Impact sur la récupération de données

La récupération dépend fortement de l’ampleur du chiffrement et des sauvegardes disponibles :
  1. Si le ransomware a seulement chiffré le VMDK 
    • Il est impossible de monter ou d’accéder aux VM directement.
    • Les outils de récupération classiques (Recuva, R-Studio, Stellar) ne fonctionnent pas car le contenu est crypté.
  • Seule une sauvegarde intacte ou un outil spécialisé de récupération de fichiers chiffrés par ransomware peut restaurer les données.
  1. Si des fragments ou snapshots sont corrompus 
    • Les VMDK peuvent être partiellement récupérables.
    • Les machines virtuelles peuvent démarrer, mais certaines applications ou bases de données seront corrompues.
  2. Impact sur le temps et la complexité 
    • Le processus est long et délicat, car il implique souvent :
      • analyse de l’algorithme de chiffrement utilisé par le ransomware,
      • identification des blocs du VMDK non chiffrés ou partiellement récupérables,
      • reconstruction de la structure du disque virtuel (VMDK descriptor + data)
    • Récupération complète : plusieurs heures à plusieurs jours pour un seul VMDK de 100 Go à 1 To selon la complexité.
    • La récupération peut échouer totalement si :
      • le VMDK a été complètement écrasé par un logiciel d’effacement
      • La surface de chiffrement est trop importante.

3️⃣ Points critiques à retenir

  • Ne jamais tenter de monter un VMDK chiffré : risque de corruption supplémentaire (faire des copies avant toute manipulation)
  • Ne pas supprimer le fichier ou tenter un formatage : chaque octet est précieux pour la récupération.
  • Priorité aux backups hors-ligne : si un snapshot ou une sauvegarde Veeam, ESXi, Hyper-V existe et n’est pas accessible au ransomware, elle est la meilleure source.
  • Outils spécialisés : certaines sociétés de récupération possèdent des logiciels capables de :
    • analyser le VMDK chiffré,
    • reconstruire les blocs partiellement intacts,
    • récupérer des fichiers critiques même sans déchiffrement intégral.
Temps réel de récupération dépend de la taille du disque, du chiffrement utilisé, et de l’état du VMDK.
VMDK chiffré