VMware ESXi chiffré par un Ransomware
1️⃣ Symptômes d’infection d’un ESXi par ransomware
Lorsqu’un hyperviseur VMware ESXi est infecté par un ransomware, plusieurs signes distinctifs apparaissent :- Chiffrement des fichiers VMDK
- Les machines virtuelles (VM) hébergées sont impactées par le chiffrement des fichiers VMDK (Virtual Machine Disk), qui contiennent le disque dur virtuel.
- Les fichiers conservent parfois leur nom mais l’extension peut être modifiée par le malware, ex. .vmdk.locked, .vmdk.anubis, .vmdk.enc.
- Taille des fichiers souvent inchangée, mais contenu illisible.
- Notes de rançon sur datastore
- Présence de fichiers texte ou HTML dans les datastores ESXi indiquant l’attaque et le paiement demandé.
- Inaccessibilité des VM
- Tentative de démarrage des VM échoue.
- Erreurs fréquentes dans vSphere : “Cannot open the disk”, “VMware cannot access the virtual disk”, ou “file is encrypted”.
- Modification ou suppression des snapshots
- Ransomwares avancés suppriment ou chiffrent les snapshots (.vmsn, .vmsd) pour empêcher toute restauration rapide.
- Événements réseau suspects
- Transfert massif de fichiers ou exfiltration des données avant chiffrement (modèles double-extorsion).
2️⃣ Impact sur les fichiers VMDK
Le VMDK est le cœur d’une VM. L’impact dépend du type de ransomware :
Type d’impact | Description |
Chiffrement complet | Les données de la VM sont totalement chiffrées, rendant le système virtuel inutilisable. |
Chiffrement partiel | Seules certaines parties du VMDK sont cryptées, parfois détectable par la taille des blocs modifiés. |
Destruction de métadonnées | Le header VMDK ou le descriptor (fichier .vmdk) est modifié ou effacé, empêchant l’ouverture même si les blocs de données sont intacts. |
Suppression de snapshots | Les points de restauration vSphere sont perdus, ce qui élimine une source de récupération rapide. |
Conséquences directes :
- Impossible de démarrer les VM sans intervention spécialisée.
- Les outils standards de récupération ESXi échouent si le header VMDK est corrompu ou si le chiffrement est fort.
3️⃣ Impact sur la récupération de données
La récupération dépend de plusieurs facteurs :
- Disponibilité de sauvegardes hors ligne
- Sauvegardes Veeam, Veritas ou Altaro non accessibles au réseau sont cruciales.
- Si une sauvegarde est chiffrée par le ransomware, les chances de récupération sont faibles sans intervention avancée.
- Sauvegardes Veeam, Veritas ou Altaro non accessibles au réseau sont cruciales.
- Intégrité des VMDK
- Si le VMDK est chiffré intégralement avec un algorithme robuste (AES‑256 ou ECIES), la récupération directe est quasi impossible sans clé.
- Si seul le header ou le descriptor est impacté, il est possible de reconstruire le VMDK et récupérer la VM.
- Si le VMDK est chiffré intégralement avec un algorithme robuste (AES‑256 ou ECIES), la récupération directe est quasi impossible sans clé.
- Type de datastore
- VMFS sur disque local ou SAN : récupération plus rapide, car les blocs sont localisés et accessibles.
- NFS / NAS : chiffrement du datastore impacte l’ensemble des fichiers VM hébergés, complexifiant la récupération.
- VMFS sur disque local ou SAN : récupération plus rapide, car les blocs sont localisés et accessibles.
- Outils de récupération
- Solutions spécialisées (ScanX, R-Studio, UFS Explorer, ou outils internes des prestataires) permettent d’analyser les blocs VMDK, de reconstruire le descriptor et d’extraire des fichiers VM.
- Les outils classiques Veeam / ESXi Recovery peuvent échouer si le header est corrompu.
- Solutions spécialisées (ScanX, R-Studio, UFS Explorer, ou outils internes des prestataires) permettent d’analyser les blocs VMDK, de reconstruire le descriptor et d’extraire des fichiers VM.
4️⃣ Temps estimé pour récupérer les données
Le temps de récupération dépend de :
Facteur | Impact sur le temps |
Nombre et taille des VM | Plus il y a de VM et plus elles sont volumineuses (VMDK > 1 To), plus l’analyse et reconstruction prend du temps. |
État du VMDK | Header intact : 1‑2 jours pour extraction des fichiers. Header endommagé : 1‑3 semaines selon complexité. |
Sauvegarde disponible | Avec sauvegarde hors ligne : récupération rapide (<24h par VM). Sans sauvegarde : reconstruction lente et partielle. |
Ressources matérielles | Serveurs de récupération puissants + SSD : accélèrent l’analyse. Récupération sur HDD ou SAN saturé : rallonge le temps. |
Exemples concrets :
- VM de 500 Go, header intact : ~24 à 48 heures pour restauration complète.
- VMDK partiellement corrompu ou header chiffré : reconstruction manuelle + récupération fichiers : 7 à 21 jours.
5️⃣Recommandations immédiates post-attaque
- Isoler l’ESXi du réseau pour éviter propagation vers d’autres hyperviseurs ou NAS.
- Ne pas redémarrer les VM chiffrées pour éviter l’écriture supplémentaire sur disque.
- Identifier le ransomware si possible (extensions fichiers, note de rançon).
- Vérifier l’état des sauvegardes et conserver immédiatement une copie hors ligne.
Contacter un prestataire spécialisé en récupération post-ransomware pour ESXi.
6️⃣ Résumé des impacts clés
Élément | Impact |
Fichiers VMDK | Chiffrement complet ou partiel, header modifié |
Snapshots | Souvent supprimés, perte de points de restauration |
Datastore | NFS ou VMFS chiffré, propagation possible à toutes les VM |
Sauvegardes | Risque de chiffrage si accessibles, impact majeur sur récupération |
Temps de récupération | 1-2 jours (VMDK intact) à 3-4 semaines (header endommagé + multiples VM) |
En conclusion, une attaque ransomware sur un hyperviseur VMware ESXi est critique : les fichiers VMDK représentent l’ensemble des données de la VM et leur corruption ou chiffrement rend la récupération complexe. La rapidité d’intervention, la disponibilité de sauvegardes isolées et les outils spécialisés déterminent le succès et le temps nécessaire à la récupération. Même avec un expert, certaines données peuvent rester irrécupérables si l’attaque inclut un module destructeur ou si les snapshots ont été supprimés.