La menace ransomware franchit régulièrement des caps : les groupes ne se contentent plus de chiffrer les données, mais ils attaquent aussi méthodiquement les dispositifs de sauvegarde, c’est à dire l’ultime protection contre une paralysie complète du système informatique.

Cet article est le récit d’une intervention technique avancée, qui plonge dans les coulisses d’un sauvetage numérique généralement jugé complexe à réaliser…

Ou comment notre équipe a pu à récupérer l’intégralité des données d’un cabinet d’architecture, après une attaque ransomware qui avait méticuleusement détruit toute solution de repli ?

Cette étude de cas documente le processus complet de récupération qui nous a permis de restaurer 580 Go de données professionnelles (411 000 fichiers dans 79 417 dossiers) à partir de supports considérés comme irrémédiablement compromis.

Infrastructure compromise : l’impact d’une attaque ciblée sur un système de stockage professionnel

Un cabinet d’architecture colombien nous a récemment contactés suite à une cyberattaque d’une intensité peu commune… Contrairement aux attaques plus conventionnelles où les données sont simplement chiffrées, les assaillants avaient opté pour une stratégie particulièrement destructive :

• Réinitialisation complète des disques du système RAID
• Formatage du disque de sauvegarde externe USB (USB COPY)
• Compromission délibérée de l’intégrité des fichiers de sauvegarde Hyper Backup

Cette approche agressive avait pour objectif d’éliminer toute possibilité de récupération sans paiement de rançon, illustrant une tendance inquiétante où les cybercriminels ciblent désormais délibérément les mécanismes de protection des données, avec une mainmise complète sur le système informatique.

Des solutions standards insuffisantes

Avant de faire appel à nos services, notre client avait déjà emprunté un parcours complet de solutions conventionnelles.

Les tentatives avec des logiciels grand public comme PhotoRec n’avaient donné que des résultats partiels et inexploitables.

L’escalade auprès du support technique Synology, poussée jusqu’aux échelons supérieurs de l’organisation, s’était soldée par un constat d’impuissance face à la gravité des dommages. Même la consultation de plusieurs spécialistes informatiques locaux n’avait pas permis de débloquer la situation.

Malgré cette mobilisation importante de ressources et de compétences, aucune solution viable n’avait émergé.

Il s’agissait d’un cas particulièrement complexe qui dépassait les procédures standard de récupération, et qui nécessitait des compétences spécialisées en récupération de données post-cyberattaque.

Une analyse technique approfondie

Notre équipe a reçu deux éléments pour analyse :

• Une image du disque externe de 1 To contenant les sauvegardes Hyper Backup
• Un des disques du RAID1 de 4 To formaté en BTRFS

L’examen initial a révélé plusieurs défis techniques majeurs :

Les défis liés au système de fichiers BTRFS

Le système BTRFS, bien que robuste et performant, présente une architecture qui complique considérablement la récupération des données en cas de corruption. Sa structure, qui sépare les métadonnées (noms de fichiers, arborescence, attributs) des données elles-mêmes, peut entraîner une situation où les fichiers sont récupérables mais sans leur organisation ni leurs identifiants.

La complexité du format Hyper Backup

Le format propriétaire d’Hyper Backup, avec ses fichiers .bucket, .index, .bkpi et .hbk, constitue une couche de complexité supplémentaire. La sauvegarde utilisait également des fonctionnalités avancées comme la compression, rendant l’accès aux données encore plus délicat en cas de corruption.

Méthodologie double de récupération

Pour faire face à cette situation, notre équipe a adopté une approche en deux temps :

1. Extraction depuis le disque RAID

Notre première analyse s’est donc concentrée sur le disque de 4 To configuré en RAID1 avec système de fichiers BTRFS. Nous avons réussi à extraire des fichiers, ce qui était une bonne nouvelle en soi. Cependant, nous avons rapidement identifié une limitation majeure : les noms de fichiers ainsi que la structure des répertoires étaient perdus.

Cette situation est caractéristique des récupérations sur BTRFS après une corruption importante. Ce système de fichiers moderne utilise une approche fondamentalement différente des systèmes traditionnels, en séparant les métadonnées (noms, chemins, dates, etc.) des données elles-mêmes. Lorsque les métadonnées sont corrompues, il est souvent possible de récupérer les données brutes, mais sans leurs attributs essentiels.

Bien que techniquement réussie, cette approche aurait nécessité un temps considérable pour la réorganisation et l’identification des fichiers. Pour un architecte ayant besoin d’accéder rapidement à des projets spécifiques, cette solution n’était pas optimale.

2. Reconstruction des sauvegardes Hyper Backup

Notre seconde approche s’est concentrée sur le disque de sauvegarde externe. L’analyse a révélé environ 580 Go de données sous forme de fichiers propriétaires Hyper Backup, .bucket et .index.

Mais l’utilitaire officiel Synology Hyper Backup Explorer s’est heurté à des messages d’erreur récurrents tels que « Les données stockées dans la destination de sauvegarde sont altérées »

ou « Fichier/dossier partiellement copié ou restauré »

Cet outil ne parvenait à récupérer qu’environ 75 Go de données (soit 15% du total) avant de rencontrer des erreurs bloquantes.

Développement de solutions propriétaires

Pour contourner ce type d’impasse, notre équipe d’ingénieurs a mis en œuvre une solution développée en interne : notre outil Synology Backup Extractor. Cet outil propriétaire a été spécialement conçu pour faire face aux situations où les outils officiels échouent en raison de corruptions partielles des sauvegardes Hyper Backup.

L’analyse technique de la situation a révélé plusieurs défis spécifiques :

1. Compression activée : la sauvegarde utilisait la compression, une fonctionnalité qui optimise l’espace disque mais complique significativement la récupération en cas de corruption.
2. Fichiers .bucket et .index corrompus : ces fichiers constituent l’architecture de la sauvegarde Hyper Backup, et leur altération compromet l’accès aux données sous-jacentes.
3. Accès partiel avec Hyper Backup Explorer : l’outil officiel parvenait à récupérer environ 75 Go sur les 500 Go présents, mais s’arrêtait régulièrement avec des erreurs, affichant le message « Partially copied the file/folder ».

Notre approche a consisté à reconstruire les mappages d’adressage des fichiers et des dossiers pour contourner les sections corrompues des métadonnées. Cette méthode, extrêmement technique, a nécessité une compréhension approfondie de la structure interne du format de sauvegarde d’Hyper Backup, fruit de notre expertise dans la récupération de données sur environnements NAS et plus spécifiquement sur un NAS Synology.

Les résultats obtenus

L’intervention a permis d’atteindre des résultats particulièrement satisfaisants :

• Récupération de l’intégralité des 580 Go de données professionnelles
• Restauration de 411 000 fichiers organisés dans plus de 79 000 dossiers
• Conservation de la structure hiérarchique complète
• Préservation des noms de fichiers et attributs d’origine

Pour ce cabinet d’architecture, la différence était vitale : l’accès à l’ensemble de ses projets professionnels (plans, rendus 3D, documentation contractuelle) représentait la sauvegarde de plusieurs années de travail et également la continuité de son activité.

Enseignements et recommandations stratégiques

Cette intervention nous permet de formuler plusieurs recommandations essentielles pour la protection des données professionnelles :

La protection avancée des dispositifs de sauvegarde

Les cybercriminels considèrent désormais les systèmes de sauvegarde comme des cibles prioritaires. Il devient donc fondamental de s’inspirer des mesures ci-après :

• Des sauvegardes physiquement déconnectées (air gap)
• Des supports en lecture seule
• Une authentification renforcée pour l’accès aux systèmes de sauvegarde
• Des vérifications programmées de l’intégrité des sauvegardes

L’Application de la stratégie 3-2-1

Cette situation illustre parfaitement la pertinence de la règle 3-2-1 :

• 3 copies indépendantes de vos données
• Sur 2 types de supports différents
• Dont 1 copie conservée hors site

Dans le cas de notre client, la sauvegarde externe était connectée au système principal, la rendant vulnérable à la même attaque – une configuration courante qui peut être exploitée par les pirates.

L’importance de solutions spécialisées

Cette intervention démontre la nécessité d’outils de récupération hautement spécialisés face aux attaques modernes. Les logiciels grand public et même les outils officiels des fabricants montrent leurs limites dans les situations complexes impliquant :

• Des systèmes de fichiers avancés (BTRFS, ZFS, ReFS)
• Des formats propriétaires de sauvegarde
• Des corruptions intentionnelles par des logiciels malveillants

Une expertise critique face aux menaces en évolution

La sophistication croissante des cyberattaques, ciblant désormais spécifiquement les mécanismes de sauvegarde, rend indispensable une approche experte de la récupération de données.

Ce cas de récupération de données ransomware démontre que même dans des situations que les outils conventionnels considèrent comme irrécupérables, des solutions existent grâce à des technologies avancées et une expertise spécialisée en récupération de données.

Pour les entreprises et professionnels utilisant des NAS Synology ou d’autres solutions de stockage avancées, ce retour d’expérience souligne l’importance d’une stratégie de protection des données robuste, mais aussi d’avoir identifié des partenaires disposant des capacités techniques nécessaires pour intervenir en cas de sinistre majeur.

Besoin d’assistance pour votre NAS Synology ?

Si vous rencontrez une situation similaire avec un NAS Synology compromis ou des sauvegardes corrompues, notre équipe d’experts en récupération de données ransomware est disponible pour évaluer votre situation.

Notre cellule d’urgence est mobilisable 24h/24 et 7j/7 pour les situations critiques nécessitant une intervention immédiate.

Nous sommes à votre écoute pour résoudre les cas d’attaque ransomware les plus complexes.

L’article Récupération de données après une attaque de ransomware sur NAS Synology : Retex est apparu en premier sur Recoveo.

Malheureusement, même les systèmes les plus robustes peuvent, eux aussi, faire l’objet de défaillances…

L’un des messages d’erreur les plus critiques auxquels les utilisateurs de Veeam sont parfois confrontés est le suivant : « All instances of the storage metadata are corrupted. ».

Comment interpréter cette erreur et pourquoi est-ce si grave ?

Les métadonnées de stockage Veeam fonctionnent approximativement comme un GPS des sauvegardes. En effet, sans elles, Veeam s’avère totalement perdu, incapable de localiser ou d’assembler correctement les données sauvegardées.

Ce qui rend cette erreur particulièrement alarmante, c’est que Veeam crée normalement deux copies de ces métadonnées précisément pour éviter ce type de situation.

Lorsque le message indique « All instances are corrupted », cela signifie que les deux copies sont inutilisables. C’est comme si votre plan A et votre plan B avaient échoué simultanément.

L’aide d’un spécialiste pour résoudre rapidement ce problème de sauvegarde Veeam, vous sera d’un grand secours.

Quelles sont les causes potentielles de cette corruption de métadonnées ?

Plusieurs facteurs peuvent entraîner cette erreur…

Des problèmes au niveau du stockage de sauvegarde sont une cause fréquente. Cela peut inclure des dysfonctionnements du matériel (disques durs défectueux, contrôleurs RAID en panne), des problèmes de firmware du stockage, ou des soucis de communication, en particulier lors de l’utilisation de partages réseau via SMB sur des NAS bas de gamme qui pourraient ne pas gérer correctement les commandes de synchronisation (FLUSH).

Des interruptions inattendues pendant le processus de sauvegarde, comme un redémarrage du serveur Veeam, peuvent également corrompre les fichiers de sauvegarde.

Dans certains cas plus récents, des problèmes liés à des versions spécifiques de Veeam ou des interactions avec des systèmes de fichiers comme ReFS approchant leur capacité maximale ont été évoqués.

Enfin, une infection par un ransomware ciblant les fichiers de sauvegarde peut également causer des dommages aux métadonnées, ces dernière étant généralement particulièrement ciblées lors d’une attaque… De nombreuses entreprises de taille moyenne se retrouvent confrontées à cette même erreur après une attaque ayant chiffré leurs fichiers VBK.

Notre cellule d’urgence est à votre disposition 24/7/365, pour vous aider dans ce genre de situation.

Face à l’urgence : les premières actions à entreprendre

Si vous voyez cette erreur pendant une tentative de restauration, ne paniquez pas. Votre première action devrait être d’essayer un point de restauration différent. Il est fréquent que seule une partie des sauvegardes soit affectée.

Si l’erreur apparaît pendant une tâche de sauvegarde, voici nos recommandations, basées sur des situations réelles :

1. Créez immédiatement une nouvelle chaîne de sauvegarde. C’est la solution officielle de Veeam, et elle fonctionne généralement bien pour isoler le problème.
2. Examinez votre stockage. Lancez un CHKDSK (Windows) ou fsck (Linux) pour identifier d’éventuels problèmes sous-jacents. Ce simple diagnostic peut révéler des secteurs défectueux sur un disque non suspect.
3. Plongez dans les journaux d’événements. Ils contiennent souvent des indices précieux sur ce qui se passe réellement. Un dépannage approfondi peut révéler des erreurs d’E/S répétées se produisant avant chaque corruption de métadonnées.
4. Testez votre stockage en copiant manuellement des fichiers volumineux. Cela peut aider à reproduire et identifier le problème. Cette technique permet parfois de confirmer qu’un contrôleur RAID défectueux est le véritable coupable.

Ne négligez pas les outils intégrés de Veeam, comme SureBackup ou Veeam.Backup.Validator.exe. Ils sont là pour une bonne raison. Un scan complet peut révéler des problèmes avant qu’ils ne deviennent critiques.

Quand tout semble perdu : les solutions de dernier recours

Dans les situations les plus graves, notamment après une attaque par ransomware, des mesures spéciales s’imposent. Recoveo a développé des techniques spécialisées pour récupérer des données à partir de sauvegardes Veeam corrompues.

Nos experts réussissent à extraire des machines virtuelles complètes et des bases de données critiques à partir de fichiers VBK que Veeam lui-même considérait comme irrécupérables. Ces interventions peuvent vraiment faire la différence entre une reprise rapide et un désastre prolongé.

Une innovation technologique constante

Depuis 2019, nous avons développé des outils performants pour optimiser la récupération des sauvegardes Veeam. Notre premier outil, Backup Recovery, nous a permis de restaurer l’intégrité des fichiers VBK et de les rendre exploitables.

En 2023, nous avons développé Backup Extractor, une solution plus avancée, conçue pour apporter une réponse aux nouvelles menaces et à la complexités des attaques par ransomware. Cet outil est désormais capable d’analyser en profondeur la structure des fichiers de sauvegarde, de reconstituer les arborescences et de redémarrer les machines virtuelles sous Microsoft Hyper-V et VMware ESXi, par exemple.

Une approche adaptée aux nouveaux défis

Avec la montée en puissance des ransomwares, il est nécessaire d’innover en permanence. C’est pourquoi, nos experts travaillent sans relâche pour améliorer nos outils et garantir une récupération efficace et rapide des données. Nous couvrons un large éventail de versions de Veeam, de la 6.5 à la 12.1.1, ce qui nous permet d’intervenir sur des infrastructures variées. De plus, notre outil Diagview assure un contrôle d’intégrité post-récupération, offrant une transparence totale sur les fichiers restaurés.

Des interventions en laboratoire ou à distance

Nous proposons deux modalités de récupération : en laboratoire ou à distance.

L’intervention en laboratoire est idéale pour les cas les plus complexes, notamment lorsque les données ont été supprimées de manière définitive.

À l’inverse, la récupération à distance permet une intervention rapide et efficace sans immobiliser les infrastructures, réduisant ainsi les coûts logistiques et assurant une continuité de service. Notre connexion haut débit et l’utilisation de protocoles sécurisés comme le SFTP garantissent la protection et l’intégrité des données lors des transferts.

Grâce à notre savoir-faire et à notre engagement dans l’innovation, nous offrons une solution fiable et performante pour la récupération des sauvegardes Veeam, permettant aux entreprises de surmonter les cyberattaques et de retrouver l’intégralité de leurs données en toute sécurité.

Prévenir plutôt que guérir, les stratégies proactives en amont de la catastrophe

La meilleure façon de gérer cette erreur est évidemment de ne jamais la rencontrer… Voici les pratiques que nous recommandons systématiquement :

La règle 3-2-1 n’est pas négociable. Trois copies de vos données, sur deux supports différents, dont une hors site. Cette stratégie a littéralement sauvé de nombreuses entreprises.

Investissez dans un stockage de qualité. Un serveur professionnel ou un système SAN correctement configuré réduira considérablement vos risques. La différence de fiabilité est remarquable et justifie l’investissement.

Programmez des vérifications d’intégrité régulières. Une corruption détectée tôt peut souvent être isolée avant de contaminer d’autres sauvegardes. Les audits préventifs permettent d’identifier des problèmes naissants qui pourraient devenir catastrophiques quelques semaines plus tard.

Maintenez une surveillance active de votre infrastructure de sauvegarde. Les signes avant-coureurs comme des ralentissements ou des erreurs mineures peuvent annoncer des problèmes plus graves à venir.

Une approche réaliste face à l’inévitable

Des années d’expérience avec Veeam et la résolution de ces situations critiques montrent qu’une approche proactive, combinée à un plan de réaction bien défini, fait toute la différence.

L’erreur « All instances of the storage metadata are corrupted » est certes alarmante, mais elle n’est pas une sentence de mort pour vos données. Avec les bonnes connaissances et ressources, cette crise potentielle peut se transformée en contretemps. Nous sommes à votre disposition pour résoudre ce type de problème, n’hésitez à prendre contact.

FAQ

L’article Veeam : « All instances of the storage metadata are corrupted » – Que faire face à cette erreur critique ? est apparu en premier sur Recoveo.