Data Recovery Heroes.

Recovery Italia® può aiutarVi a risolvere con successo qualsiasi caso di perdita di dati.

preventivo immediato

Recupero Dati SQL Server installato su HYPER-V vhdx in seguito ad attacco Lockbit

Recupero Dati da SQL Server in HYPER-V Colpita da Ransomware LockBit

Il caso di C.D.S. è tanto significativo da far scuola nelle strategie di recovery e apre nuovi orizzonti nelle tecniche utilizzate per risolvere i casi di attacco Ransomware e di corruzione di file system.

Introduzione : L’attacco su HYPER-V

Nel caso C.D.S la partizione contenente le Virtual Machine HYPER-V VHDX è stata colpita da attacco hacker che come di consueto ha rinominato i file e danneggiato il datastore.

Le macchine VM in particolare sono state criptate e danneggiate severamente in diverse posizioni del file tra cui l’elemento più importante , la BAT ( BLOCK ALLOCATION TABLE )

HYPER-V Block Allocation

HYPER-V BAT, Metadati Essenziali

Le VM HYPER-V VHDX sono progettate con una tecnologia denomitata COW, Commit on Write.

Semplificando il file virtuale cresce di dimensione allocata con l’utilizzo della Macchina Virtuale alla quale vengono letteralmente accodati blocchi di settori.

La tecnologia COW implica necessariamente che tutti i blocchi memorizzati vengano gestiti da un indice in quanto il loro allineamento non è contiguo come in un hard disk tradizionale.

Tale metodo è comune in VMWARE e nei NAS che implementano il THIN Provisioning.

Analisi Forense delle Virtual Machine Attaccate

La diagnosi delle VM ha evidenziato che il ransomware utilizzato nell’attacco risultava essere progettato per colpire la VM nei primi settori e poi ciclicamente tutti i settori del virtual drive utilizzando un vettore di jump specifico.

Ransomware Lockbit Operational Scheme

La ragione per cui viene utilizzato un jump durante l’encryption è chiarissima, l’obiettivo è danneggiare in modo orizzontale e completo il datastore nel minor tempo possibile.

Se l’attacco avesse dovuto interessare tutto il disco virtuale, avrebbe significato impegnare in I/O intensivo un singolo file per molte ore.

Se l’obiettivo è criptare un file per chiederne poi un ransom è necessario che il flusso debba essere prima letto, cifrato e riscritto nuovamente implicando necessariamente il doppio dell’impegno I/O.

Un singolo Virtual Disk di 1 TB per essere criptato integralmente impiegherebbe troppo tempo, probabilmente ore, e oltre al rischio di essere sorpresi dalla vittima durante un attacco prolungato, magari insospettita dal degrado di performance dei propri servers, potrebbe accadere di non riuscire a criptare tutto e forse di aver tralasciato elementi strategici per l’organizzazione attaccata.

Corrupted vhdx Metadata

E’ dunque pratica comune in tutti gli attacchi “colpire” le virtual machine in posizioni strategiche, rendendole irrecuperabili e inutilizzabili nel minor tempo possibile.

Nel caso C.D.S le B.A.T. risultavano essere danneggiate senza alcuna possibilità di recupero o backup locale presente.

Il backup nello specifico non veniva prodotto a causa della dimensione della VM, un Database SQL Server con SHAREPOINT, contenente milioni di documenti achiviati.

Pianificazione Strategia di Recovery

Essendo una Virtual Machine vhdx allocata con modalità COW con blocchi di dimensione predefinita ed essendo l’indice danneggiato non risulta possibile in alcun modo utilizzare software di data recovery, in quanto qualsiasi file recuperato risulterebbe inevitabilmente corrotto.

I software di recupero dati, nel tentativo di ricostruire il file system, analizzano i settori e localizzano le entries MFT, ricostruendone la struttura utilizzando i valori di parentela tra i records localizzati.

Al termine di una analisi il file system originale viene certamente ricostruito, ma la posizione dei file relativa non puo’ che essere errata con l’impossibilità di poter estrarre elementi validi.

Essendo obiettivo del recovery i database di SQL Server abbiamo pianificato una strategia basata sulla localizzazione delle pagine di SQL Server stesso e sviluppato un algoritmo euristico in grado di ricostruire i blocchi contigui appartenenti ai database presenti originariamente nel server.

Note sul funzionamento di SQL Server

Un database di SQL Server memorizza i propri record in pagine da 16 Settori ( 8K )

Ogni pagina è costituita da un Header da 96 bytes che contiene elementi essenziali per l’identificazione e per i check di consistenza interni del database stesso.

SQL SERVER PAGE LAYOUT

Utilizzando i metadati presenti nei settori della VM Danneggiata è stato possibile creare un database di tutte le pagine di SQL Server presenti.

Un algoritmo di associazione probabilistica basata sui metadati contenuti negli headers delle pagine MS SQL Server è stato in grado di determinare gli elementi contigui e le interruzioni dei flussi senza alcun falso positivo.

A partire dall’elemento 0 ( la prima pagina del Database ) in sequenza è stato possibile calcolare tutte le sequenze di pagine appartenenti ad ogni singolo database utilizzando le interruzioni sistematiche dovute alla frammentazione sul file system e successivamente alla allocazione bat nella VM stessa .

Una volta creata la mappa delle sequenze è stato possibile salvare i settori in sequenze ricostruendo gli mdf originali.

Gli MDF Recuperati sono stati sottoposti ad una analisi ulteriore per la ricostruzione completa delle tabelle, data view e stored procedures.

La procedura viene ultimata eseguendo una BULK Insert dei records recuperati su una istanza di SQL Server locale.

Il recovery ha consentito un restore operativo completo di un gestionale erp consistente in circa 1000 tabelle e di un database sharepoint contenente 6.000.000 di documenti.

Nas infetto? Ecco come recuperare i dati dal vostro dispositivo nel caso fosse stato attaccato da virus informatici

Se state leggendo questo articolo, probabilmente avete avuto la sfortuna di subire un attacco di ransomware sul vostro sistema NAS e ora siete alla disperata ricerca di una soluzione per recuperare i vostri dati crittografati. La buona notizia è che non siete soli: esistono metodi affidabili per ripristinare i file persi e proteggervi da futuri attacchi informatici. In questa breve guida, vedremo

Recupero dei dati da un iMac con scheda madre danneggiata: tutte le soluzioni che potete sfruttare

Se la scheda madre dovesse venire danneggiata, il vostro iMac potrebbe smettere di funzionare correttamente, causando possibili perdite di dati o rendendoli comunque inaccessibili. Ci sono diverse cause che possono portare al danneggiamento della scheda madre.

Recupero dati da smartphone Android con scheda madre danneggiata

Cosa succede quando il telefono smette di funzionare non per un guasto qualsiasi, ma per il danneggiamento della scheda madre? È possibile recuperare tutti i dati e come? Facciamo chiarezza su questi aspetti che interessano ogni proprietario di uno smartphone Android (e non solo).

Come recuperare i dati da un SSD che non viene riconosciuto dal PC: ecco le soluzioni più efficaci

Quando un SSD (Solid State Drive) smette improvvisamente di essere riconosciuto dal computer, è una situazione frustrante che può portare alla perdita di dati importanti. Normalmente su questo disco viene installato il sistema operativo e i software per le task di cui ti occupi abitualmente, ma negli ultimi modelli di laptop e desktop notiamo anche che tale memoria sostituisce completamente l’

RECUPERO DATI DA HARD DRIVE INTERNI
SERVIZI
HARD DRIVE

Qualsiasi hard disk, anche quello che sembra più affidabile e di qualitá può tradirci improvvisamente. Recovery Italia è specializzata nel recupero dei dati da hard disk e memorie esterne con qualsiasi tipo di danneggiamento e perdita di dati, dalle formattazioni accidentali, ad eventi naturali o errori umani come le cadute a terra.

dettagli
RECUPERO DATI DA MEMORIE ESTERNE
SERVIZI
HARD DRIVE

Gli Hard Disk Esterni dominano il mercato dello storage consumer.Chiunque ha una memoria esterna dove salva Foto Video e Film. La portabilit dei drive esterni li espone a rischio di shock fisici e cadute a terra.

dettagli
RECUPERO DATI DA SISTEMI RAID
SERVIZI
RAID

Recovery Italia interviene su tutti i livelli o configurazioni di Raid, in qualsiasi caso di perdita dei dati, anche quando l”array presenti numerose unitá degradate o in fault.I nostri ingegneri sono in grado di intervenire su qualsiasi tipo di assemblaggio RAID come RAID 0, RAID 1, RAID 3, RAID 5, RAID 6 oltre raid proprietari e configurazioni ibride.

dettagli
RECUPERO DATI DA SERVER E NAS
SERVIZI
NAS

Recovery Italia può recuperare dati da sistemi NAS (Netword Attached Storage) di qualsiasi produttore, e con qualsiasi tipo di danneggiamento. Il NAS é un sistema che puó essere dotato di una o più unita disco, generalmente usato per la condivisione di documenti,file ed elementi multimediali tra diverse postazioni di lavoro collegate in rete.

dettagli
Recovery Italia® GROUP

DATA RECOVERY SERVICE SRL
Via del Fosso Centroni, 4 Roma (RM)
PIVA.: 14931361001

Sede di Roma Sud

Via del fosso centroni, 4
00118 ROMA
Call Center 39 06 98357672
Email: info@recoveryitalia.it

METRO A ANAGNINA
Sede di Roma Prati

Via Attilio Regolo 19
00192 ROMA
Call Center 39 06 98357672
Email: info@recoveryitalia.it

METRO A LEPANTO
Sede di Milano

Via Santa Maria Valle, 3
21220 Milano
Call Center 39 02 00611518
Email: info@recoveryitalia.it

METRO M3 MISSORI