Case ID #4204: Recupero dati NAS Hackerato CryptoLocker

Un sistema NAS, con archiviati i file di backup di un computer Windows 7 sul quale sono stati cifrati i documenti e un database di Microsoft SQL Server utilizzato da un’applicativo gestionale, è stato reso inaccessibile e non operativo a seguito di un’intrusione non autorizzata da parte di hacker nella rete del cliente.

La richiesta di riscatto, pari a 2.5 Bitcoin (in quel momento circa 10.000 Euro), avanzata dagli hacker per ripristinare lo stato originario dei file è stata considerata, per motivi etici ed economici, inaccettabile da parte del cliente.

Supporti ricevuti

Data di arrivo: 19 settembre 2017;
Unità NAS: Synology Mod. DS713+;
Disco fisso 1: Western Digital Mod. WD10EFRX-68PJCN0;
Disco fisso 2: Western Digital Mod. WD10EFRX-68PJCN0;

Informazioni e richieste comunicate dal cliente

I dischi fissi sono parte di un sistema NAS Synology in configurazione RAID-1;

L’apparato NAS, contenente dei set di backup completi e differenziali di “Veeam Backup & Replication” effettuati da un pc Windows 7, è stato attaccato da hacker che ne hanno eliminato il contenuto. I documenti e i database presenti nel pc, che è stato a sua volta violato, risultano essere stati criptati con un virus di tipo “Cryptolocker” ed è stato richiesto un riscatto di 2,5 Bitcoin (circa 10.000 Euro) per ottenerne la decodifica.

È fondamentale recuperare dal backup di Veeam il database di Microsoft SQL Server dell’applicativo gestionale “(omissis)”.

Livello Raid: Raid-1 software;
Sistema operativo: Linux (Nas);
Partizioni/File system: Una, circa 1 TB;
Cartelle da recuperare: “/(omissis)/backup”, altre cartelle non interessano;
Stima (indicativa) dei dati presenti: 100~200 GB circa.

La diagnosi

Disco 1
L’esame del disco fisso non ha evidenziato problemi di funzionamento ed è risultato essere operativo. La copia binaria integrale dei settori è stata effettuata positivamente. L’analisi del contenuto ha evidenziato l’assenza di partizioni e riscontrato la presenza di sequenze di byte apparentemente casuali o cifrati (ovvero byte con valore non riconducibile ad un file system) dal primo settore del disco per circa 8GB. I settori successivi sono riconducibili a parti di file e/o di file system.

Disco 2
L’esame del secondo disco non ha evidenziato problemi di funzionamento ed è risultato essere operativo. La copia binaria integrale dei settori è stata effettuata positivamente.

Il confronto delle letture effettuate sui due dischi ha evidenziato che il contenuto delle due unità è identico.

Esito della diagnosi

Dall’analisi effettuata sul primo disco è stata evidenziata la presenza di contenuto apparentemente casuale per i primi 8GB: si ipotizza in questo caso un attacco, da parte degli hacker, mirato ad alterare il contenuto iniziale dei dischi del NAS, sfruttando una possibile vulnerabilità dell’apparato per ad accedere allo stesso.

La riscrittura di questi primi 8GB delle unità disco del NAS ha come conseguenza la totale inaccessibilità all’apparato, sia all’interfaccia di gestione da browser che alle condivisioni non più presenti sulla rete.

È quindi possibile formulare un’ipotesi di recupero basata sulla ricerca e l’analisi di parti residue del file system collocate oltre i primi 8GB iniziali.

Sulla base delle indicazioni fornite dal cliente, relativamente alla collocazione, il numero e la dimensione dei file da recuperare, oltre alla presenza di altri vecchi file non necessari, è stato possibile formulare un preventivo per il recupero dei dati, sottoposto al cliente e dallo stesso accettato.

Le operazioni di recupero dei dati

Le operazioni di recupero, effettuate sul contenuto del disco 1, sono iniziate con la ricerca di strutture del file system presenti oltre i primi 8GB che ha portato all’identificazione di parti utili a ricostruire quasi totalmente il file system originario.

L’esame diretto delle strutture recuperate, effettuato da un tecnico con software appositamente progettato, ha consentito di confermare il file system rilevato (Ext3) ed identificare la cartella contenente i file di Veeam richiesti, per poi procedere con l’estrazione (di tutte le cartelle recuperabili) su un supporto di lavoro.

La verifica sull’integrità dei file di backup, tramite la versione di Veeam Backup & Replication appropriata, ha consentito di stabilire la coerenza del contenuto ed il ripristino totale su una unità di test è stato portato a termine correttamente, senza alcun errore o problema segnalato.

Si è proceduto quindi con la verifica dell’integrità del database utilizzato dal software gestionale, collegandolo ad un’istanza di Microsoft SQL Server 2014 e impartendo i relativi comandi per il controllo che hanno dato esito positivo.

Sono stati quindi inviati al cliente sia l’elenco dei file che il report generato da SQL Server 2014 come prova di avvenuto recupero e per una ulteriore verifica, anch’essa positiva, effettuata dai tecnici del servizio di assistenza del software gestionale.

I file recuperati sono stati copiati su un nuovo disco USB ed è stata effettuata la consegna al cliente in data 22 settembre.

Conclusioni

L’approccio di TheRecovery al problema, che ha consentito il recupero dei dati, ha permesso al cliente di ripristinare velocemente (in 3 giorni) l’operatività del proprio computer, senza dover sottostare alla richiesta estorsiva degli hacker e con un esborso economico notevolmente inferiore.

Il computer è stato ripristinato interamente alla data del giorno precedente l’hackeraggio, con una perdita di dati minima consistente nelle attività effettuate il giorno stesso dell’intrusione.

Nel rivolgersi a TheRecovery per il recupero dei propri dati, il cliente ha sempre avuto la garanzia, condizione normale dei nostri preventivi, di non dover pagare nulla in caso di esito negativo dell’operazione: nessun importo sarebbe stato a noi dovuto qualora i file di backup fossero risultati non essere utilizzabili per il ripristino del computer, con particolare riguardo all’integrità del database gestionale.

Parole chiave recupero dati

NAS RAID RAID-1 Synology Veeam Backup
Ransomware CryptoLocker File cifrati Hacker Bitcoin