O ransomware em Hyper-V atinge o hipervisor da Microsoft e todas as suas máquinas virtuais. Além disso, ele criptografa os discos VHDX, que concentram sistemas inteiros e bancos de dados. Neste artigo, você vê como recuperar suas VMs sem pagar resgate.
Como o ataque atinge o Hyper-V
O Hyper-V costuma rodar em ambientes de domínio. Por isso, o atacante que compromete o Active Directory alcança o host com facilidade. Em seguida, ele criptografa os arquivos VHDX e AVHDX de cada VM.
Contudo, o volume desses discos joga a favor da vítima. Como um VHDX pode ter centenas de gigabytes, o ransomware raramente criptografa tudo. Dessa forma, grande parte do disco virtual segue legível.
VHDX: por que a recuperação é viável
O VHDX guarda um sistema de arquivos completo. Quando apenas o início do disco é embaralhado, o restante permanece intacto. Assim, é possível reconstruir a estrutura e acessar os dados internos.
Além disso, checkpoints e discos diferenciais ajudam bastante. Por exemplo, um AVHDX preservado pode conter o estado mais recente da VM. Portanto, cada arquivo do conjunto tem valor forense.
A abordagem da Crowdertech
Nós nunca negociamos com quem sequestrou seus dados. Em vez disso, aplicamos engenharia reversa ao padrão do ransomware. Depois, reconstruímos o VHDX e recuperamos servidores, aplicações e bancos.
Essa é uma capacidade que pouquíssimas empresas no mundo dominam. De fato, tratamos o disco virtual como uma estrutura remontável, camada por camada. E entregamos os dados sem pagar resgate.
O que preservar imediatamente
Para maximizar a recuperação, guarde:
- Todos os arquivos VHDX e AVHDX
- Os checkpoints e discos diferenciais
- As configurações das VMs
- Os volumes CSV, quando houver cluster
Conclusão
O ransomware em Hyper-V é sério, mas os discos VHDX quase sempre guardam dados recuperáveis. Em resumo, isole o host, preserve os discos e evite reconstruções. Precisa recuperar VMs no Hyper-V? A Crowdertech reconstrói VHDX por engenharia reversa. Veja também ransomware em ambiente virtualizado.
Fontes: Microsoft — Hyper-V · CISA StopRansomware.