2023 – 01 – 06

2023 – 01 – 06
Encore une victoire contre Lockbit 3.0
Je suis en cours de récupération d’une dizaine de machines virtuelles Hyper-V ayant été infectées par une cyberattaque. Le client (qui souhaite garder l’anonymat) n’a envoyé que les machines importantes. Tous les fichiers ont étés chiffrés et renommés avec un fichier de demande de rançon. La société qui s’occupe de la remédiation n’est pas en capacité de retrouver quoique ce soit, et les sauvegardes Veeam Backup ont été entièrement détruites par un effacement complet dans le NAS dédié et disponible en iSCSI.
Pour test et démontrer qu’il est bien souvent possible d’aller plus loin que les autres, j’ai tenté d’utiliser deux outils censés être ‘standard du marché’ pour tenter de réparer les fichiers ‘.vhdx’ corrompus. Les deux logiciels ‘spécialisés’ ont dès le début déclaré forfait. Aucun n’accepte les fichiers, car ‘trop corrompu’.
J’ai donc examiné en détail les parties corrompues, reconstruit manuellement les structures essentiels, fait pointer les adresses d’offset vers les bonnes informations internes. Les fichiers vhdx sont construits avec beaucoup de structures différentes, toutes ont une fonction particulière et toutes sont nécessaires au ‘montage’ du disque virtuel. Par chance, les ‘Chunks’ (morceaux/fragments de données utilisateurs) ne sont pas trop endommagés. Certaines machines virtuelles du client possèdent jusqu’à quatre disques virtuels allant parfois jusqu’à 1To. Après plusieurs heures, une fois la réparation de chaque fichier effectué, j’ai remarqué que certaines machines avaient une légère corruption de leur système de fichier, quelques dossiers et fichiers ne semblaient pas fonctionnels. En conséquence, une étape d’analyse a été nécessaire sur certaines. Les machines virtuelles ne sont jamais démarrées, car elles peuvent contenir d’autres logiciels malveillants pouvant infecter à nouveau d’autres machines ou elle-même. Une extraction de fichier sur un autre support sain est donc réalisée.
Il y a eu une autre difficulté, certaines machines étaient en cours de fonctionnement pendant l’attaque et Hyper-V s’est interrompu brutalement. Il y avait de ce fait plusieurs snapshots présents. Ce sont des fichiers avec l’extension avhdx. Ils sont créés au cours de l’utilisation ‘normal’ de la machine virtuelle ou à la demande de l’administrateur. Sur le plus gros disque virtuel, il y avait un fichier de 33Go contenant les données les plus à jours. Malheureusement la structure de ces fichiers est légèrement différentes des autres vhdx et j’ai eu beaucoup plus de difficulté pour arriver à reconstruire la chaine ‘parent-enfant’. Mais après plusieurs tentatives infructueuses, j’ai réussi à ce que le snapshot soit bien raccorder au disque virtuel et que les blocs de données soient correctement pointés. Les données saines là aussi sont en cours de récupération…
Voici encore une démonstration de ‘savoir-faire’, là où d’autres sociétés spécialisées dans la remédiation ne peuvent pas retrouver les données importantes et pourtant nécessaires à la survie d’une entreprise.