Ransomware Lockbit 3.0 : récupérer ses données sans payer la rançon !

Vous rencontrez un problème suite au chiffrement de vos données par Lockbit dans sa dernière version ?  Des fichiers qui comportent l’extension HLjkNskOq ou 19MqZqZ0s ? Vous n’accédez plus à vos documents et une demande de rançon comme l’image suivante est apparue ?

Ce sont autant de preuves d’un chiffrement par le virus Lockbit, largement utilisé par les groupes de hackers, comme bl00dy par exemple. Ne paniquez pas, vous n’êtes pas seul(s) : Thalès a subi une infection par Lockbit 3.0 récemment tout comme d’autres entreprises et surtout, nos experts peuvent vous aider à reprendre votre activité rapidement.

3 serveurs dont 2 NAS synology chiffrés par Lockbit 3 !

Le dernier cas en date, c’est celui d’une entreprise du nord de la France qui a subi l’infection et qui nous a contactés. L’ensemble de ses serveurs ont été chiffrés par Lockbit 3.0. Il s’agit ici d’une architecture comprenant un serveur de production et deux NAS Synology de sauvegarde. Le serveur de production contrôlait une ligne de fabrication, qui est à l’arrêt suite à l’attaque. L’un des NAS de sauvegarde est complètement plein (26,3Tb sur 27Tb) et tout est détruit par l’attaque, d’autant que le serveur de production a été réinstallé entre-temps par le client ! Pour nos experts, c’est une très mauvaise nouvelle, car cela réduit considérablement les chances de récupération.  

Nos équipes reçoivent la demande par téléphone le 2 novembre et nous mobilisons immédiatement la cellule d’astreinte étant donné que le client est bloqué dans son activité.

Serveurs de production infectés malgré les systèmes de sauvegardes

Nous recevons l’ensemble des serveurs dans la soirée suite à la mise en place d’un transport express pour rapatrier le matériel depuis le nord de la France vers notre laboratoire principal. Le premier diagnostic confirme les informations du client : les deux serveurs de sauvegardes sont chiffrés par Lockbit 3.0 depuis le 1er Novembre. Le système Extend 4 et les documents du clients sont complètement illisibles. Malgré les moyens de back ups mise en place, ils se retrouvent sans rien et pourtant : ils disposaient d’un système redondant composé des 2 serveurs de sauvegardes + un système sous Veeam Backup et des liaisons simples via R-sync classique. Mais rien n’a résisté à Lockbit 3.0 et tout est/paraît détruit. 

La solution : réparation des fichiers Veam Backup

Nos équipes commencent donc par rétablir les accès bas niveau au système, afin d’accéder aux fichiers de sauvegardes ainsi qu’aux machines virtuelles que recherchent le client. Nous procédons ainsi à l’extraction, puis à la réparation des fichiers .VBK (Format de sauvegarde Veam Back Up). Le chiffrement à partiellement endommagé ces derniers et nous avons développé un outil sur mesure pour rétablir leur intégrité.

Retour et reprise d'activité

Alors qu’ils pensaient avoir tout perdu, nous réussissons à rendre valides certaines sauvegardes, notamment du mois en cours ! Nous procédons ensuite à l’examen des machines virtuelles Flat/Esxi. Après plusieurs heures de travail, nos experts sont formels : nous avons retrouvé l’ensemble des données prioritaires, au travers de sauvegardes du 4, du 9 et du 31 Octobre. Le client aura perdu moins de 2 jours d’activité et surtout récupéré plusieurs dizaines d’années de travail.

Au final, nous avons permis à cette société de reprendre son activité très rapidement en retrouvant puis en réparant le fichier de sauvegarde .VBK de 2Tb le plus récent et le plus important; et ce, malgré l’infection Lockbit 3.0 ! Nous avions déjà réussi des infections Lockbit dans sa version 2.0, désormais le 3.0 n’a plus de secrets pour nos experts.

Des données inaccessibles à cause d’un ransomware ? des fichiers de sauvegardes corrompus ? Contactez-nous, nous pouvons sûrement vous aider !

Service téléphonique en dérangement

Notre service téléphonique est actuellement en dérangement. Vous pouvez toujours joindre nos équipes par téléphone au 07 58 55 37 37 / 07 53 66 45 91

ou par mail à l’adresse suivante :
commercial@recoveo.com

L’accueil commercial devrait pouvoir reprendre très rapidement. Veuillez nous excuser pour ce problème temporaire.