logo SOS Ransomware
Emergência 24/7
Veeam Backups

Veeam Backup File Share criptografado por um ransomware: o relato de uma recuperação de dados bem-sucedida

Este caso real ilustra como um ataque sofisticado pode contornar as proteções mais robustas, mas também como uma intervenção especializada pode permitir recuperar a maior parte dos dados. Aqui está o relato desta corrida contra o tempo.

Liga para nos : (+33) 1 84 60 41 12
pedido de intervenção

Imagine: são 22h de uma sexta-feira à noite, e uma empresa sediada em Seoul, líder na área de recursos humanos, descobre com horror que todos os seus arquivos críticos foram criptografados por um ransomware. Esses dados, armazenados em um NAS centralizado, são vitais para as equipes de produção e os serviços administrativos. Entre eles, arquivos de backup Veeam NAS, que deveriam proteger a empresa contra esse tipo de ataque. No entanto, os cibercriminosos conseguiram acessar o NAS como administradores, criptografando não apenas os arquivos comerciais, mas também os próprios backups.

Contexto: uma infraestrutura crítica sob ataque

Um NAS centralizado, o coração da atividade

O armazenamento da empresa baseia-se em um NAS (Network Attached Storage) que centraliza mais de 2 TB de dados, ou seja, mais de 650.000 arquivos. Esse armazenamento é usado tanto para as operações diárias quanto para arquivos estratégicos. Para proteger esses dados, a empresa implementou o Veeam NAS Backup, uma solução reconhecida por sua capacidade de gerenciar milhões de arquivos sem lentidão, e que inclui proteção contra exclusões acidentais e ransomwares por meio de um sistema de versionamento

O Veeam NAS Backup é otimizado para compartilhamentos NFS e SMB e oferece granularidade refinada na restauração de arquivos. No entanto, mesmo as melhores soluções têm suas limitações: se um invasor obtiver direitos de administrador no NAS, ele poderá criptografar todos os dados, incluindo os backups.

O ataque: sexta-feira, 15 de agosto de 2025, às 22h

Foi exatamente isso que aconteceu. Os cibercriminosos exploraram uma falha para acessar o NAS com privilégios de administrador. Resultado: todos os arquivos, incluindo os backups do Veeam, foram criptografados. As extensões .vblob, .vindex e .vslice – essenciais para o funcionamento dos backups do Veeam – foram renomeadas e tornadas ilegíveis.

Diante dessa situação, a empresa se encontra em um impasse:

  • Impossibilidade de acessar os dados: os arquivos estão criptografados e seus nomes foram alterados.

  • Urgência operacional: cada hora de indisponibilidade ameaça a continuidade das operações.

  • Incerteza quanto à recuperação: os próprios backups estão corrompidos.

O desafio : restaurar backups criptografados

Compreendendo a arquitetura dos backups Veeam NAS

Antes de agir, é crucial compreender a estrutura dos arquivos do Veeam NAS Backup:

  • .vblob: esses arquivos contêm os dados brutos provenientes dos backups do compartilhamento NAS.

  • .vindex: são metadados binários que descrevem os nomes e as versões dos arquivos salvos.

  • .vslice: esses arquivos descrevem a alocação dos dados dentro dos .vblob.

Sem esses metadados, a restauração é quase impossível. No entanto, as equipes técnicas da Recoveo (nossa empresa) decidiram enfrentar o desafio.

Uma abordagem em dois focos

Para maximizar as chances de sucesso, duas equipes foram mobilizadas:

  • Equipe “Árvore de Diretórios”: responsável por reconstruir a estrutura das pastas e arquivos.

  • Equipe “Dados”: focada na extração e recuperação dos dados brutos.

A solução: uma intervenção técnica personalizada

Etapa 1: Análise da estrutura dos arquivos

A primeira etapa consiste em analisar profundamente a estrutura dos arquivos criptografados. Com o uso de ferramentas de análise hexadecimal e engenharia reversa, os engenheiros identificam padrões recorrentes nos arquivos .vblob, .vindex e .vslice. Essa análise permite compreender como os dados estavam organizados antes da criptografia.

Os arquivos .vindex contêm cabeçalhos específicos que, uma vez decodificados, revelam informações sobre os nomes dos arquivos e sua hierarquia.

veeam backup ransomware
Exemplo de ficheiros Veeam partilhados encriptados por um ransomware
veeam backup ransomware2
Notre outil d’analyse en action lors de nos recherches

Etapa 2: Desenvolvimento de uma ferramenta proprietária de extração

Diante da ausência de uma solução pronta para uso, os engenheiros desenvolvem uma ferramenta sob medida capaz de:

  • Analisar as metadados: extrair informações dos arquivos .vindex e .vslice, mesmo com a criptografia.

  • Reconstruir a estrutura de diretórios: recuperar a organização original das pastas.

  • Extrair os dados brutos: recuperar o conteúdo dos arquivos .vblob e associá-los ao seu nome de origem.

veeam nas backup
Interface da nossa ferramenta de extração em processo de extração

Etapa 3: Testes de restauração

Antes de iniciar uma extração em larga escala, são realizados testes em arquivos críticos (contratos, bases de dados de RH, documentos administrativos). Esses testes validam:

  • Integridade dos dados: os arquivos restaurados são testados.

  • Coerência da estrutura de diretórios: pastas e subpastas são corretamente reconstruídas. O cliente nos forneceu uma lista completa de sua estrutura de diretórios, permitindo comparar com nosso resultado.

Etapa 4: Extração e validação

Uma vez que a ferramenta é finalizada, a extração é iniciada. Os arquivos são recuperados em lotes, com verificação sistemática de sua integridade. Uma lista detalhada dos arquivos restaurados é gerada para permitir que a empresa valide a completude dos dados.

Resultados: 93% dos dados recuperados em menos de uma semana

Um sucesso além das expectativas

Ao contrário das previsões iniciais, 93% dos dados do Veeam NAS Backup foram recuperados. Essa taxa excepcional pode ser explicada por:

  • Robustez da ferramenta desenvolvida: capaz de contornar a criptografia dos metadados.

  • Redundância das informações: os arquivos .vblob continham redundância suficiente para reconstruir grande parte dos dados.

  • Expertise das equipes: a combinação de competências em cibersegurança, desenvolvimento e gestão de dados foi determinante.

Depoimento do cliente

“Com a Recoveo, encontramos uma solução para recuperar os dados do nosso Veeam NAS Backup. A restauração está quase completa e conseguimos retomar nossas atividades em menos de uma semana. Esta intervenção salvou anos de trabalho e evitou uma crise grave para nossa empresa.” — Yu-jun Chung, Especialista em TI

Ensino tirado desta crise

A importância de um parceiro especialista


Quando se trata de ransomware, cada minuto conta. Recorrer a especialistas em recuperação de dados pode fazer a diferença entre uma rápida retomada das atividades e uma perda irreversível.

Conclusão : uma victoria contra o ransomware

Esta história mostra que um ataque de ransomware, mesmo devastador, nem sempre é fatal. Graças a uma análise técnica aprofundada, uma ferramenta personalizada e uma estreita colaboração com o cliente, é possível recuperar grande parte dos dados.

Se a sua empresa estiver a enfrentar uma situação semelhante, não hesite em contactar-nos. As nossas equipas estão prontas para ajudá-lo a minimizar o impacto e restaurar os seus dados críticos.