Success stories
Attaque sur NAS QNAP
attaque ransomware sur serveur NAS QNAP en RAID5 composé de 32 disques
De la PME aux grandes entreprises, en passant par les particuliers et les institutions, personne n’est épargné par les attaques (ransomwares, piratage,…). Au cours de cette période de confinement, nous avons reçu, traité et réussi plusieurs dossiers de clients impactés. Pour celui-ci, il s’agit d’un client responsable d’une communauté d’agglomérations de plusieurs milliers d’habitants.
Retour sur le déroulé de la cyber-attaque
L’attaque est survenue le mercredi 15 avril 2020 est fut très rapide, comme nous le détectons rapidement dans les logs des serveurs. En quelques heures à peine, les accès aux deux NAS du système d’informations et de sauvegardes sont impossibles. Ces derniers, des QNAP TS EC880U composés de 8 disques de WD Red 4To, contenaient 4 volumes dont 2 virtualisés (VMware essentiellement) pour un total de 25To de données chacun. Bureautique, documents pdfs, archives … tout semble perdu… mais… !
Nous recevons ainsi la demande le 21 avril et organisons un enlèvement par taxi colis en urgence dès la validation de notre client. Les supports arriveront le soir même à 23h10 après plusieurs heures de route. Dans la nuit, nous commençons le diagnostic ainsi que le clonage des disques en parallèle, par sécurité conformément à nos process. Nous mobilisons une task-force dédiée, composée d’un spécialiste des composantes logiques RAID, d’un expert file system (notamment Linux et Ext), et de notre directeur technique. Les moyens techniques sont également là puisque nous utilisons 8 machines ultra puissantes dédiées, 20 disques de 8To pour les clones, un serveur cache pour les transferts, ainsi qu’un NAS de destination.
Un NAS très endommagé…
Au petit matin, les premières informations sont mauvaises. Les dégâts sont importants, notamment sur la structure des systèmes de fichiers en EXT4. Des réinitialisations ont été réalisés post-attaque afin de ne pas laisser de traces ! Les chances de succès sont très minces. Nous cherchons malgré tout à reconstruire une arborescence à partir du peu d’éléments que nous avons. L’assemblage des fragments et blocs de VM s’avèrera par la suite potentiellement réalisable mais beaucoup trop long et compliqué pour un traitement respectant l’urgence de notre client. Chaque tentative et analyse des volumes pouvant prendre plusieurs heures voir jours, nous décidons de nous concentrer sur les fichiers.
… mais une récupération des données totale !
Après de nombreuses analyses et manipulations logiques, nous réussissons enfin à retrouver la majeure partie des documents recherchés ! Un succès total, avec seulement quelques informations de structure non retrouvées. Mais l’essentiel pour notre client est là : ce sont ainsi plusieurs dizaine de milliers de dossiers et près de 15 millions de fichiers qui sont récupérés, dont environ 8 millions de pdfs après seulement quelques jours (et nuits !) de travail. Un résultat imprévisible et surtout inestimable !
Ne pas oublier de bien se protéger
Le retour des données s’est également effectué par taxi colis sur l’un de nos NAS de prêt. Notre client a d’ores et déjà prévu un second serveur de sauvegarde hors réseau pour parer à d’éventuelles futures attaques. Quoi qu’il en soit, restez prudents et n’oubliez pas de nous consultez en cas de problème !
Machine virtuelle
Les défaillances de systèmes virtualisés (VM) sont généralement les plus complexes car elles regroupent souvent pannes physiques et problème logique.
Le client, après plusieurs essais infructueux de relance de sa Machine Virtuelle, a fait appel à Recoveo pour lui récupérer, le plus rapidement possible, deux bases de données SQL Server.
Un RAID mal en point et une VM défectueuse
Le système était un RAID 5. L’un des disques était complètement désynchronisé depuis longtemps. Un second composant du RAID semblait comporter des secteurs défectueux. Ces deux raisons ont certainement été la cause de la perte d’accès aux volumes.
Nous avons réparé le disque 1, puis cloné les deux disques endommagés afin de les réintégrer dans la baie. Une fois les paramètres retrouvés, il restait encore quelques erreurs. Après plusieurs tentatives, la machine virtuelle a été réparée et testée avec le logiciel VMware, ce qui a, finalement, permis une ouverture de cette dernière.
Notre expert a enfin réalisé une extraction complète de la VM afin d’avoir une sauvegarde complète des données.
Un résultat rapide
Le client avait une demande urgente avec notre offre 24h/24 7j/7, avec donc un délai court pour récupérer ses données. Le disque a été réceptionné, le 2 août et le client a reçu le résultat technique le 5 août.
Ses fichiers confidentiels ont été récupérés à 100% en quelques heures seulement malgré le volume important de données.
Vous avez un problème de pertes de données sur un environnement virtualisé ou une machine virtuelle ? Contactez-nous !
Raid 1 et double panne
PANNE TECHNIQUE DE NAS
Dans les différents types, de défaillances, la panne mécanique est la plus courante. Ici, notre client avait un système RAID 1 sur un NAS Synology DS918+ dont les têtes de lecture du disque 1 claquaient. Le disque 2 est tombé en panne rapidement après avec de nombreux secteurs défectueux.
Les deux disques étaient des disques Seagate de 2To. Le diagnostic annonçait 1,2To de données stockées ; des fichiers professionnels importants comme la comptabilité, des plans, et des bases de données.
LES OPÉRATIONS DE RÉCUPÉRATION
Notre premier expert est intervenu d’abord sur le disque 1 en changeant les têtes de lecture. Mais cela n’a pas permis d’accéder aux données. Les têtes restaient, à priori, bloquées sur les plateaux.
Pour le disque 2, le changement de têtes à permis de compléter le clone des données au maximum. Il y avait cependant beaucoup plus de données que prévues !
De ce fait, notre second expert a procédé directement à une extraction à l’aide d’un de nos outils spécifiques du laboratoire.
LA PRIORITÉ : LA QUALITÉ DE LA RÉCUPÉRATION
L’extraction a pris un peu plus de temps que prévu : la liste des fichiers récupérés a mis presque une journée pour être créée. Mais le client a pu récupérer 99.98% des données ! Chez Recoveo la priorité est mise sur la qualité et la quantité de récupération de vos données plutôt que sur la vitesse d’extraction quitte à monopoliser un poste de travail plus longtemps.
Le client avait souscrit à une offre Business standard. Nous avons reçu le support le 30 juillet et le résultat technique a été envoyé au client le 12 août.
Vous avez un problème de pertes de données sur NAS ? Contactez-nous !
Salle blanche et urgence
Le client avait besoin de récupérer des fichiers professionnels, notamment pdf, word et Excel très rapidement, sur son disque dur qui ne répondait plus. C’est pour cela qu’il a souscrit à une offre business express.
Diagnostic
Le disque dur n’était pas reconnu mais le moteur du disque tournait avec des bruits inhabituels claquement, sifflement, grattement… Les têtes de lecture étaient, en fait, bloquées sur les plateaux.
Intervention
Elle a nécessité un passage par la salle blanche afin de débloquer les têtes de lecture. Puis les données ont été extraites grâce à nos outils de laboratoire.
Résultat
72h après la réception du support au laboratoire, le client recevait les résultats techniques. Il fut entièrement satisfait du service Recoveo puisqu’il a récupéré 100% de ses données.
Gros serveur et panne vite détectée
Nous avons réceptionné un RAID 5 synology avec 4 disques Western Digital. 1 disque dur était certainement en panne depuis longtemps, puis le RAID a tourné en dégradé et un second disque a lâché.
Diagnostic
Aucune anomalie n’était visible à l’œil nu et le disque semblait s’initialisé. La panne était logique, et ne nécessitait pas, de ce fait, un passage en salle blanche.
Récupération de données
Le technicien a d’abord fait passer le RAID par différents outils d’extraction ce qui a permis une extraction à 98.9% des données !
Une réussite pour ce client qui a pu retrouver ses fichiers de CAO et PAO de son entreprise.
SAN : notre plus beau cas !
Les dossiers SAN sont bien souvent complexes de part leur structure. Ce dernier fait partie de nos réussites avec fierté !
UN CAS « À PART »
Les SAN sont toujours des cas difficiles, mais celui-ci était d’autant plus complexe que le client ne connaissait pas les informations de configurations. De plus, nous savions seulement qu’il fallait retrouver des fichiers de bureautique sans avoir le type exact, si ils étaient dans un environnement virtualisé ou non.
Et pour nous faciliter la tâche, ce SAN contenait un nombre impressionnant d’éléments : 2092478 fichiers !
RÉCUPÉRATION DIFFICILE
La procédure de récupération a été difficile et non conventionnelle : on a tout essayé ! Tous nos outils d’extractions de données y sont passés ; ce SAN a été challengeant pour nos experts !
Mais après plusieurs jours d’analyse, et 65 heures de scan nous pouvions enfin annoncer la bonne nouvelle à notre client : 95% de ces données avaient été récupérées !
Vous rencontrez des difficultés sur un SAN ? Nos conseillers sont à votre disposition !