3 serveurs dont 2 NAS Synology chiffrés par le ransomware Lockbit
Le dernier cas en date, c’est celui d’une entreprise du nord de la France qui a subi l’infection et qui nous a contactés. L’ensemble de ses serveurs ont été chiffrés par Lockbit 3.0. Il s’agit ici d’une architecture comprenant un serveur de production et deux NAS Synology de sauvegarde. Le serveur de production contrôlait une ligne de fabrication, qui est à l’arrêt suite à l’attaque. L’un des NAS de sauvegarde est complètement plein (26,3Tb sur 27Tb) et tout est détruit par l’attaque, d’autant que le serveur de production a été réinstallé entre-temps par le client ! Pour nos experts, c’est une très mauvaise nouvelle, car cela réduit considérablement les chances de récupération.
Nos équipes reçoivent la demande par téléphone le 2 novembre et nous mobilisons immédiatement la cellule d’astreinte étant donné que le client est bloqué dans son activité.
Veam Backup infectés, sauvegardes inopérantes
Nous recevons l’ensemble des serveurs dans la soirée suite à la mise en place d’un transport express pour rapatrier le matériel depuis le nord de la France vers notre laboratoire principal. Le premier diagnostic confirme les informations du client : les deux serveurs de sauvegardes sont chiffrés par Lockbit 3.0 depuis le 1er Novembre. Le système Extend 4 et les documents du clients sont complètement illisibles. Malgré les moyens de back ups mise en place, ils se retrouvent sans rien et pourtant : ils disposaient d’un système redondant composé des 2 serveurs de sauvegardes + un système sous Veeam Backup et des liaisons simples via R-sync classique. Mais rien n’a résisté à Lockbit 3.0 et tout est/paraît détruit.
Une seule solution : réparer les fichiers Veam Backup
Nos équipes commencent donc par rétablir les accès bas niveau au système, afin d’accéder aux fichiers de sauvegardes ainsi qu’aux machines virtuelles que recherchent le client. Nous procédons ainsi à l’extraction, puis à la réparation des fichiers .VBK (Format de sauvegarde Veam Back Up). Le chiffrement à partiellement endommagé ces derniers et nous avons développé un outil sur mesure pour rétablir leur intégrité.
Reprise d'activité dans les plus brefs délais
Alors qu’ils pensaient avoir tout perdu, nous réussissons à rendre valides certaines sauvegardes, notamment du mois en cours ! Nous procédons ensuite à l’examen des machines virtuelles Flat/Esxi. Après plusieurs heures de travail, nos experts sont formels : nous avons retrouvé l’ensemble des données prioritaires, au travers de sauvegardes du 4, du 9 et du 31 Octobre. Le client aura perdu moins de 2 jours d’activité et surtout récupéré plusieurs dizaines d’années de travail.
Au final, nous avons permis à cette société de reprendre son activité très rapidement en retrouvant puis en réparant le fichier de sauvegarde .VBK de 2Tb le plus récent et le plus important; et ce, malgré l’infection Lockbit 3.0 ! Nous avions déjà réussi des infections Lockbit dans sa version 2.0, désormais le 3.0 n’a plus de secrets pour nos experts.
Vous rencontrez un problème suite au chiffrement de vos données par Lockbit dans sa dernière version ? Des fichiers qui comportent l’extension HLjkNskOq ou 19MqZqZ0s ? Vous n’accédez plus à vos documents et une demande de rançon comme l’image suivante est apparue ? Contactez-nous, nous pouvons sûrement vous aider !