Ransomware em Hyper-V: recuperação de VMs e VHDX

ransomware em Hyper-V

O ransomware em Hyper-V atinge o hipervisor da Microsoft e todas as suas máquinas virtuais. Além disso, ele criptografa os discos VHDX, que concentram sistemas inteiros e bancos de dados. Neste artigo, você vê como recuperar suas VMs sem pagar resgate.

Como o ataque atinge o Hyper-V

O Hyper-V costuma rodar em ambientes de domínio. Por isso, o atacante que compromete o Active Directory alcança o host com facilidade. Em seguida, ele criptografa os arquivos VHDX e AVHDX de cada VM.

Contudo, o volume desses discos joga a favor da vítima. Como um VHDX pode ter centenas de gigabytes, o ransomware raramente criptografa tudo. Dessa forma, grande parte do disco virtual segue legível.

VHDX: por que a recuperação é viável

O VHDX guarda um sistema de arquivos completo. Quando apenas o início do disco é embaralhado, o restante permanece intacto. Assim, é possível reconstruir a estrutura e acessar os dados internos.

Além disso, checkpoints e discos diferenciais ajudam bastante. Por exemplo, um AVHDX preservado pode conter o estado mais recente da VM. Portanto, cada arquivo do conjunto tem valor forense.

A abordagem da Crowdertech

Nós nunca negociamos com quem sequestrou seus dados. Em vez disso, aplicamos engenharia reversa ao padrão do ransomware. Depois, reconstruímos o VHDX e recuperamos servidores, aplicações e bancos.

Essa é uma capacidade que pouquíssimas empresas no mundo dominam. De fato, tratamos o disco virtual como uma estrutura remontável, camada por camada. E entregamos os dados sem pagar resgate.

O que preservar imediatamente

Para maximizar a recuperação, guarde:

  • Todos os arquivos VHDX e AVHDX
  • Os checkpoints e discos diferenciais
  • As configurações das VMs
  • Os volumes CSV, quando houver cluster

Conclusão

O ransomware em Hyper-V é sério, mas os discos VHDX quase sempre guardam dados recuperáveis. Em resumo, isole o host, preserve os discos e evite reconstruções. Precisa recuperar VMs no Hyper-V? A Crowdertech reconstrói VHDX por engenharia reversa. Veja também ransomware em ambiente virtualizado.

Fontes: Microsoft — Hyper-V · CISA StopRansomware.