Encore un succès de nos équipes sur le ransomware Lockbit 2.0 !
A la suite d’une cyber attaque, une PME parisienne a retrouvé l’ensemble de sa comptabilité paralysé par le ransomware Lockbit 2.0.
Retour sur le succès réalisé par nos experts.
Un distributeur d’accessoires vient de subir une attaque du ransomware « lockbit ».
C’est une PME parisienne de 20 personnes.
Il dispose d’un SSD Samsung de 4 To de capacité.
Les données ont été chiffrées le 25 mai avec un cryptovirus du groupe LockBit, comme le prouvent les
différents fichiers de demande de rançon et le renommage des fichiers en .lockbit.
Le client veut récupérer en priorité l’accès à sa comptabilité SAGE.
Pour son prestataire informatique : tout est chiffré. Il lui conseille d’envoyer son disque à Recoveo.
Les fichiers dont l’extension est modifiée sont partiellement chiffrés, seul le début est chiffré. Une
entropie forte confirme la présence de chiffrement. Puis une somme de contrôle est ajoutée à la fin du
fichier. Ce bloc est nécessaire au déchiffrement.
Nous recherchons des fichiers qui n’auraient pas été touchés par l’attaque mais ils sont tous corrompus.
Nous avons tenté des réparations sur les fichiers SQL server et les fichiers backup .bak en automatique
mais sans résultat.
Nous avons dû réparer les fichiers en étudiant la structure des fichiers puis en apportant des
modifications. Ils ne semblent pas présenter d’erreur de table.
En 3 jours, 100 % des données sont récupérées puisque les fichiers sont correctement importés dans le
logiciel de comptabilité.
Le paiement de la rançon n’est pas l’unique solution
Ps : Une belle actualité ransomware qui coïncide avec le FIC Forum (salon de la cybersécurité)
# ransomware #Nepayezpaslarançon #Ficforum #Recoveo #récupérationdedonnées