Av Prof Noé de Azevedo, 208 cj 65 (11) 3422-0066 contato@e-recovery.com.br

Seg-Sex 09:00h - 18:00h

Recuperação de Dados Criptografados por Ransomware

Arquivos criptografados (.locked, .esxi, .deadbolt)? Servidor, NAS (QNAP/Synology) ou Storage parado? Não pague o resgate! Recuperamos seus dados de forma segura, rápida e forense. Avaliação 4.9 / 5.0 no Google ⭐⭐⭐⭐⭐

Falar com Especialista (Urgente)

O que é Recuperação de Ransomware?

A recuperação de ransomware é o processo de restaurar sistemas, servidores e arquivos que foram criptografados por ataques que bloqueiam totalmente o acesso aos dados. Esse tipo de ameaça invade máquinas, storages e redes inteiras, cifrando documentos, bancos de dados, pastas compartilhadas e máquinas virtuais — e, em seguida, exige pagamento para liberar as chaves de acesso.

O processo de recuperação envolve análise forense para identificar a variante do ransomware, avaliar o dano e localizar dados que ainda podem ser extraídos. Técnicas avançadas permitem reconstruir arquivos corrompidos, restaurar VMs, recuperar bancos de dados, snapshots ocultos e informações vitais mesmo sem a chave de descriptografia original.

A E-Recovery é especializada em Ransomware Recovery, atuando com protocolos seguros, ambiente isolado e ferramentas profissionais para recuperar dados sem pagar resgate. Trabalhamos de forma sigilosa, rápida e altamente técnica, garantindo a máxima integridade e a maior taxa de sucesso possível em restaurações após ataques.

⚠️ A Verdade Sobre a "Descriptografia Garantida"

No mercado de recuperação de dados, existem promessas que desafiam a matemática e a segurança digital. Se você recebeu uma proposta garantindo 100% de descriptografia dos seus arquivos sem apresentar riscos, cuidado.

Uma investigação internacional publicada pelo jornal britânico The Guardian e pela agência ProPublica revelou o “segredo” de muitas empresas que prometem milagres: elas atuam secretamente como intermediárias de criminosos, pagando o resgate pelas costas do cliente.

A Realidade Técnica

A criptografia utilizada por ransomwares modernos (geralmente AES ou RSA) é o padrão global de segurança. Quebrá-la sem a chave é matematicamente inviável. Quem promete isso está, na verdade, ocultando a negociação com os criminosos ou utilizando ferramentas públicas — práticas que a E-Recovery não adota.

A Postura da E-Recovery

Nós trabalhamos com Engenharia de Dados, não com mágica. Nossa abordagem técnica consiste em varrer sistemas em busca de falhas na execução do ataque, arquivos gerados, backups ocultos (Shadow Copies) ou pontos técnicos que o ransomware não conseguiu destruir. Se os seus dados forem tecnicamente irrecuperáveis, nós lhe diremos a verdade.

REFERÊNCIAS:

1. The Guardian (Reino Unido) – Título: The secret trick used by firms helping cyberhacking victims: pay the ransom (O truque secreto usado por empresas que ajudam vítimas de ciberataques: pagar o resgate).

https://www.theguardian.com/technology/2019/may/15/ransomware-samsam-payments-bitcoin-scam

2. ProPublica (EUA) – Título: The Trade Secret: Firms That Promised High-Tech Ransomware Solutions Almost Always Just Pay the Hackers (O Segredo Comercial: Empresas que Prometiam Soluções de Ransomware de Alta Tecnologia Quase Sempre Apenas Pagam os Hackers)

Link: https://features.propublica.org/ransomware/ransomware-attack-data-recovery-firms-paying-hackers/

Seu Servidor ou NAS foi Criptografado?

Um ataque de ransomware é o desastre de dados mais devastador que uma empresa pode sofrer. Hackers invadem seu sistema (servidor, PC ou NAS) e usam criptografia de nível militar para “trancar” todos os seus arquivos vitais (bancos de dados, VMs, documentos), exigindo um resgate (geralmente em Bitcoin) para devolvê-los.

Em muitos casos, pagar o resgate não garante a devolução dos dados. A boa notícia é que a recuperação forense é, muitas vezes, possível. A maioria dos ataques (como o Qlocker ou variantes do ESXiArgs) cometem erros: para criptografar, o vírus copia seu arquivo, o criptografa e, em seguida, deleta o original.

A recuperação é uma corrida contra o relógio para resgatar esses arquivos originais “deletados” antes que o sistema os apague para sempre.

A Regra nº 1: Desligue o Servidor/Storage

Desconecte da energia e da rede imediatamente! Este é o erro fatal número 1. Cada segundo que um sistema moderno (SSD, Storage SAN, NAS, VMware) fica ligado após um ataque, o comando TRIM / UNMAP (“a limpeza de lixo”) está rodando em segundo plano e apagando fisicamente os blocos onde seus arquivos originais (deletados pelo vírus) estavam.

Desligar imediatamente o servidor é a única forma de parar esse processo e nos dar uma chance de recuperação.

Não Rode Antivírus ou “Limpadores”!

Sua primeira reação será “limpar o vírus”. Não faça isso.
O antivírus pode deletar os arquivos criptografados (exemplo: arquivo.docx.locked) como se fossem vírus, além de colocá-los em quarentena.

Os arquivos originais já foram apagados pelo TRIM; perder os criptografados significa perder tudo. O arquivo criptografado é a única cópia que resta dos seus dados.

Não Pague o Resgate (Ainda)!

Pagar é arriscado: o hacker pode sumir, financiar o crime e não enviar a chave. Em muitos casos, as chaves enviadas nem funcionam. Antes de pensar em pagar, é essencial avaliar se os dados podem ser recuperados sem resgate — o que ocorre em grande parte dos ataques modernos.

Análise Gratuita do Meu Caso de Ransomware

Tipos de Ataques de Ransomware

Veja os tipos mais comuns de ataques de ransomware que afetam empresas, servidores, NAS e computadores. Em muitos desses casos, é possível recuperar os dados criptografados mesmo sem pagar resgate, utilizando técnicas forenses avançadas, análise de variantes e reconstrução de arquivos danificados.

Seu NAS (QNAP, Synology, Asustor) foi atacado? Arquivos movidos para .7z (Qlocker) ou criptografados? NÃO PAGUE O RESGATE! Desligue o NAS da rede imediatamente. Somos especialistas em reverter ataques Qlocker e DeadBolt.

O seu NAS (Network Attached Storage) foi vítima de um ataque e está apresentando algum destes sintomas?

🔒 Arquivos criptografados — Todos os seus arquivos (fotos, documentos, backups) foram renomeados com uma extensão estranha (.ech0raix, .deadbolt, ou .[NOME_DO_VIRUS]).

🔐 Arquivos .7z (Qlocker) — O ataque mais comum em QNAP. Todos os arquivos sumiram e foram substituídos por arquivos .7z protegidos por senha.

📄 ransom.txt — Você encontra um bilhete de resgate (!!!README.txt ou similar) em todas as pastas.

🖥️ Interface do NAS alterada — A tela de login do QNAP ou Synology foi trocada pela tela de resgate do hacker (comum no DeadBolt).

Entendendo o Ataque de Ransomware em NAS (O Ataque ao Ponto Fraco)

Ataques a NAS são devastadores. Hackers exploram vulnerabilidades do QNAP, Synology e Asustor para invadir o sistema, criptografar arquivos e apagar as versões originais. No caso do Qlocker, por exemplo:

  • O vírus move o arquivo (foto.jpg) para dentro de um arquivo .7z protegido
  • Apaga o arquivo original
  • E deixa apenas a versão “sequestrada”

A recuperação depende de encontrar esses arquivos originais deletados antes que o sistema os sobrescreva.

⚠️ A Regra de Ouro: Desligue o NAS da Energia Imediatamente!

  • Não rode antivírus.
  • Não delete nada.
  • Não tente renomear arquivos.
  • NÃO FORMATE.
  • NÃO PAGUE RESGATE antes de falar conosco.

Sistemas modernos (EXT4, Btrfs) executam TRIM/UNMAP em segundo plano, apagando fisicamente blocos onde os arquivos deletados estavam. Desligar o NAS é a única forma de parar essa destruição.

Perguntas Frequentes (FAQ): Recuperação de Ransomware em NAS

  1. O que é o Qlocker?
    É um ataque contra QNAP que move os arquivos para dentro de .7z com senha e deleta os originais. A recuperação foca em “des-deletar” os arquivos.

  2. O que é DeadBolt e eCh0raix?
    São ransomwares que criptografam arquivos. A estratégia de recuperação continua sendo localizar arquivos originais antes da criptografia, que geralmente foram apagados.

  3. Posso recuperar sem pagar resgate?
    Sim. Não quebramos a criptografia (que é matematicamente resistente), mas recuperamos os arquivos originais deletados — muitas vezes com sucesso total.

  4. Como a E-Recovery recupera um NAS atacado?
    • Isolamento imediato usando write-blocker
    • Clonagem e remontagem virtual do RAID (RAID 5, 6, 10, SHR, ZFS etc.)
    • Análise forense do EXT4/Btrfs
    • Recuperação de arquivos deletados via file carving
    • Extração de arquivos intactos para nova mídia segura

Seu Servidor Windows, Hyper-V ou host ESXi foi criptografado? Não tente reiniciar! Somos especialistas em recuperar Datastores, Máquinas Virtuais e Bancos de Dados atacados.

O seu ambiente de servidor foi vítima de um ataque e está apresentando estes sintomas?

🔒 VMs Criptografadas – As suas Máquinas Virtuais (arquivos .VMDK, .VHDX) foram renomeadas com uma extensão de ransomware (.lockbit, .esxi, .royal, entre outros).

🗃️ Banco de Dados Parado – O SQL Server ou Oracle parou de funcionar, e os arquivos de dados (.MDF, .LDF) foram criptografados.

📝 Bilhete de Resgate na Raiz – Você encontra arquivos de texto (README.txt) no C:, D:, E: ou nos Datastores do ESXi.

🛑 Acesso Remoto Invadido (RDP) – O ataque ocorreu após exploração de falha no RDP, VPN ou firewall vulnerável.

Entendendo o Ataque a Servidores (O Alvo de Alto Valor)

Servidores são o alvo preferido dos grupos de ransomware. Os ataques são diretos, silenciosos e projetados para derrubar toda a operação de uma empresa:

  • Ataque ao Hipervisor – O invasor acessa o VMware ESXi ou o Hyper-V e criptografa os discos virtuais de todas as VMs, derrubando todos os servidores de uma vez.
  • Ataque ao Banco de Dados – O serviço SQL é parado e os arquivos .MDF/.LDF são criptografados.
  • Criptografia Parcial – Como arquivos de VMs e bancos são gigantes (vários terabytes), o malware aplica apenas criptografia parcial (intermitente) para agilizar o ataque. Isso cria pontos não criptografados, que permitem recuperação forense.

⚠️ A Regra de Ouro: Desligue o Servidor e o Storage Imediatamente!

  • Não reinicie o servidor – Muitos ransomwares têm scripts que continuam a criptografia ao reiniciar.
  • Não rode antivírus – Ele pode apagar arquivos criptografados que ainda são recuperáveis.
  • Desligue o storage SAN/NAS – Isso interrompe o TRIM/UNMAP, que pode apagar fisicamente os dados originais deletados pelo vírus.

Perguntas Frequentes (FAQ): Recuperação de Ransomware em Servidores

  1. O vírus criptografou meus arquivos .VMDK (VMware) ou .VHDX (Hyper-V). Tem solução?
    Sim. Muitas variantes (como ESXiArgs) fazem criptografia parcial. Reconstruímos o cabeçalho do disco e recuperamos o sistema de arquivos interno da VM.

  2. Meus backups (Veeam, Shadow Copies, Windows Backup) foram apagados. E agora?
    Os hackers normalmente fazem uma “deleção rápida”. Usamos técnicas forenses para recuperar arquivos .VBK, .VIB, snapshots e versões anteriores da área livre do disco.

  3. É possível recuperar um Banco de Dados SQL (.MDF) criptografado?
    Sim. Em arquivos grandes, a criptografia costuma ser parcial. Recuperamos páginas de dados íntegras e reconstruímos um banco funcional.

  4. Como a E-Recovery recupera um servidor atacado?
    Clonagem Completa – Clonamos discos do servidor e do storage usando bloqueadores de escrita.
    Análise da Criptografia – Identificamos a variante e o padrão de ataque.
    Recuperação Forense:
    Deleção: recuperamos os arquivos originais deletados antes da criptografia.
    Reparo: reconstruímos estruturas internas de VMDK, VHDX, MDF e outros.
    Extração e Validação – Exportamos os dados limpos e verificamos integridade.

Seu Datastore VMFS está “Offline”, “Inacessível” ou “Corrompido”? Suas VMs (.VMDK) sumiram? Não tente “recriar” o datastore! Somos especialistas forenses em reconstrução de VMFS e recuperação de Máquinas Virtuais.

O seu ambiente VMware (ESXi, vSphere, vSAN) está apresentando algum destes sintomas?

🚫 Datastore VMFS Inacessível – O host ESXi não detecta mais o Datastore. Ele aparece como “Inactive”, “Inacessível” ou simplesmente desapareceu da lista.

📂 Arquivos .VMDK / -flat.vmdk Sumiram – A pasta do datastore está vazia ou faltam os arquivos principais da VM, como .vmdk, -flat.vmdk ou .delta.vmdk.

💾 Datastore “RAW” (Pede Formatação) – O LUN é reconhecido como “RAW” ou “Não formatado”, e o vSphere oferece para formatar com VMFS novamente.

VM Corrompida ou Órfã – A VM não inicia e exibe erros como “Arquivo não encontrado”, “Disco corrompido” ou “Snapshot chain broken”.

Entendendo a Falha do Datastore VMFS (A Dupla Camada)

A perda de um Datastore VMFS é quase sempre a soma de duas falhas:

  • Camada de Hardware (RAID/Storage) – O RAID 5 perde dois discos, o RAID 6 perde três, uma LUN iSCSI/FC caiu, ou um pool ZFS/SHR foi corrompido.
  • Camada Lógica (VMFS) – Mesmo que o RAID seja restaurado, os metadados do VMFS podem estar corrompidos, impedindo o acesso aos arquivos internos.

Os arquivos .VMDK ficam distribuídos entre os discos do RAID e armazenados dentro de um sistema de arquivos especializado (VMFS). Quando ambas as camadas falham, o acesso às VMs se perde completamente.

⚠️ A Regra de Ouro: Não Tente “Recriar” o Datastore!

  • Não formate o LUN no vSphere/vCenter.
  • Não crie um Datastore novo no mesmo volume.
  • Não rode ferramentas como vmfs-tools em um volume instável.

Criar um novo Datastore apaga o “mapa” do VMFS original — os metadados — e destrói os ponteiros para todos os arquivos .VMDK. Isso reduz drasticamente (às vezes zera) as chances de recuperação.

Perguntas Frequentes (FAQ): Recuperação de VMware (VMFS)

  1. O RAID 5/6 do meu servidor falhou. A recuperação das VMs é diferente de recuperar arquivos comuns?
    Sim. Em VMware, o objetivo não é recuperar arquivos simples, mas reconstruir cada VM inteira e funcional, incluindo .vmdk, -flat.vmdk, arquivos delta (snapshots) e .vmx.

  2. O que é o arquivo “-flat.vmdk” e por que ele é crítico?
    O .vmdk que aparece no VMware é apenas um descritor (um arquivo de texto). O arquivo real do disco da VM — onde estão C:, D:, bancos, aplicações — é o NomeDaVM-flat.vmdk, um arquivo gigante que precisa ser recuperado sem fragmentação.

  3. O vSphere está oferecendo “Criar Novo Datastore”. Posso aceitar?
    Não! Nunca!
    Essa ação formata o LUN e remove os metadados VMFS restantes. Mesmo que os dados físicos ainda existam, localizar e reconstruir os arquivos .vmdk se torna quase impossível.

  4. Como a E-Recovery recupera VMs VMware?
    Nosso processo é dividido em múltiplas camadas:

    Clonagem Completa – Clonamos todos os discos do servidor ou storage com write-blocker.
    Reconstrução do RAID (Camada 1) – Recriamos virtualmente o RAID original (Dell PERC, HPE Smart Array, LSI, SHR, ZFS etc.).
    Reparo do VMFS (Camada 2) – Escaneamos e reconstruímos os metadados do VMFS usando ferramentas forenses especializadas.
    Extração das VMs – Recuperamos arquivos .vmdk, -flat.vmdk, snapshots e .vmx íntegros, prontos para serem importados em um novo host.

Seu PC (Windows ou Mac) foi atacado? Seus arquivos (.JPG, .DOCX, .XLSX) foram renomeados? Desligue o computador agora! A recuperação depende de interromper o comando TRIM do SSD o quanto antes.

O seu PC ou notebook foi vítima de um ataque e apresenta algum destes sintomas?

🔒 Arquivos Renomeados – Todos os seus arquivos pessoais (documentos, fotos, planilhas) ganharam uma extensão estranha (ex.: .djvu, .lockbit, .locked, .faust, .readme).

📄 Bilhete de Resgate (ransom.txt) – Arquivos como !!!README.txt aparecem em todas as pastas, exigindo pagamento em Bitcoin.

🖼️ Papel de Parede Alterado – A área de trabalho exibe uma imagem de aviso ou ameaça de resgate.

🚫 Arquivos Não Abrem – Nenhum arquivo pessoal abre mais; todos parecem corrompidos.

Entendendo o Ataque em PCs (A Corrida Contra o TRIM do SSD)

Esse é o ransomware mais comum em computadores domésticos e notebooks corporativos. Ele se espalha por phishing, downloads suspeitos ou programas piratas. A sequência típica é:

  • O O vírus copia o arquivo original (ex.: foto.jpg).
  • Cria uma versão criptografada (foto.jpg.djvu).
  • Deleta o arquivo original (foto.jpg).

A única chance de recuperação está em recuperar esses arquivos deletados.
Mas existe um problema crítico:

  • HDs comuns (disco rígido): Arquivos deletados permanecem fisicamente no disco → alta chance de recuperação.
  • SSDs modernos: O comando TRIM apaga fisicamente os blocos deletados → e isso acontece rapidamente, em segundos ou minutos.

Por isso, a velocidade com que o computador é desligado após o ataque define se os dados ainda existem.

⚠️ A Regra de Ouro: Desligue o PC da Energia Imediatamente!

  • Segure o botão Power até desligar.
  • Não use o menu do Windows.
  • Não rode antivírus, Malwarebytes nem “ferramentas de descriptografia”.
  • Não pague o resgate sem falar conosco.
  • Não continue usando o computador.

Somente desligar à força impede que o Windows envie novos comandos TRIM, aumentando drasticamente a chance de recuperar os arquivos originais.

Perguntas Frequentes (FAQ): Recuperação de Ransomware em PC/Desktop

  1. É possível recuperar meus dados sem pagar o resgate?
    Sim. A recuperação não envolve quebrar a criptografia, mas restaurar os arquivos originais que foram deletados.

  2. O que é o vírus STOP/Djvu (extensões .djvu, .promos, .gero, etc.)?
    É o ransomware mais comum no mundo para PCs domésticos. Ele criptografa e deleta os originais, mas geralmente deixa espaço para recuperação forense.

  3. Meu PC tem SSD. O TRIM já destruiu meus arquivos?
    Depende de quanto tempo o computador permaneceu ligado após o ataque.
    • Se desligou imediatamente → boas chances.
    • Se continuou usando por horas/dias → chances reduzidas, mas não necessariamente nulas.

  4. Como a E-Recovery recupera um PC atacado por ransomware?

    Isolamento Imediato: Conectamos o seu disco a um write-blocker forense, impedindo novos TRIMs.
    Clonagem Bit-a-Bit: Criamos uma cópia exata do seu disco (HD/SSD).
    Análise Forense (File Carving): Escavamos o espaço livre do NTFS para localizar arquivos originais (.JPG, .DOCX, .XLSX, .PDF).
    Recuperação (HD): Altíssima taxa de sucesso, pois arquivos apagados não são destruídos fisicamente.
    Recuperação (SSD): Se o TRIM não rodou, recuperamos a maior parte dos dados.
    Extração: Entregamos os arquivos recuperados, intactos, em mídia segura.

Seus arquivos foram renomeados (ex.: .locked), mas parecem ter o mesmo tamanho ou ainda “pesam” corretamente? Não rode o antivírus! Quando o ransomware falha, os arquivos permanecem intactos e podem ser recuperados rapidamente.

O seu PC ou servidor está apresentando algum destes sintomas?

🔒 Arquivos Renomeados, Mesmo Tamanho – Todos os arquivos têm extensão de ransomware (ex.: .locked), mas o tamanho permanece igual ao original (ex.: 3.5 MB).

🤔 Ataque Interrompido – O antivírus matou o processo do ransomware, você desligou a máquina no meio ou o vírus falhou sozinho, deixando arquivos apenas renomeados.

Arquivos “Corrompidos” Que Não Abrem – Ao tentar abrir (foto.jpg.locked), o erro é de “tipo inválido”, e não de “arquivo criptografado” — forte sinal de que o conteúdo ainda está intacto.

Entendendo o Ataque de Ransomware “Bugado” ou Incompleto

Ransomware é um software — e softwares falham. Quando o script do hacker trava, é interrompido ou foi mal programado, o ataque não se completa. O processo típico de um ataque falho é:

  • O vírus renomeia o arquivo (foto.jpg → foto.jpg.locked)
  • O script trava, é interrompido ou falha
  • O arquivo nunca chega a ser criptografado

Resultado: milhares de arquivos intactos, apenas renomeados. Este é o cenário mais fácil e com maior taxa de sucesso para recuperação.

⚠️ A Regra de Ouro: Não Rode Antivírus, Antimalware ou “Limpadores”!

Antivírus identifica arquivos com extensão .locked, .encrypted, .readme como “resquícios da infecção” e:

  • Deleta os arquivos
  • Ou coloca tudo em quarentena

Se os arquivos estavam intactos, isso destrói a única cópia original possível.

Perguntas Frequentes (FAQ): Recuperação de Ataque Falho

  1. Como saber se meus arquivos estão intactos ou criptografados?
    • Analisamos o cabeçalho de cada arquivo (JPG, DOCX, XLSX, PDF).
    • Arquivos intactos possuem cabeçalhos originais (ex.: FF D8 FF para JPG).
    • Arquivos criptografados têm entropia alta (dados totalmente aleatórios).
    • Damos um diagnóstico preciso: “Intactos” ou “Criptografados”.

  2. Por que o ransomware falhou?
    • Antivírus matou o processo no meio
    • Usuário desligou o PC durante a criptografia
    • Script mal escrito que travou sozinho
    • Falha de permissão ou erro ao acessar certos diretórios

  3. Posso usar um renomeador em massa (Bulk Rename Utility)?
    Não é recomendado.
    • Você pode renomear errado milhares de arquivos
    • Pode sobrescrever dados se estiver no mesmo SSD
    • O TRIM pode ativar enquanto você trabalha e destruir os arquivos deletados pelo vírus

  4. Como a E-Recovery recupera arquivos de ataque falho?

    Isolamento e Clonagem – Conectamos o disco a um write-blocker forense e criamos um clone seguro (sem TRIM).
    Análise de Cabeçalho – Identificamos quais arquivos estão intactos e quais, de fato, foram criptografados.
    Remontagem (RAID/NAS) – Se for servidor, remontamos o RAID/SHR/ZFS antes de agir.
    Renomeação Forense – Usamos scripts forenses para reverter milhares de nomes de arquivos de forma segura, removendo a extensão do vírus e restaurando nomes corretos.

O hacker invadiu seu servidor, NAS ou storage e deletou o volume (LUN, Pool, Datastore)? Desligue o storage imediatamente! A recuperação é uma corrida forense contra o comando UNMAP/TRIM.

O seu ambiente de TI apresenta algum destes sintomas?

👻 Volumes Desapareceram – Ao acessar seu servidor, NAS (Synology/QNAP) ou storage (Dell/HPE), os volumes, pools ou LUNs simplesmente sumiram.

💾 Discos “Não Inicializados” – O Windows Server, VMware ou Linux enxerga os discos, mas os mostra como “Não Alocados”, “Não Inicializados” ou “RAW”.

Sem Bilhete de Resgate – Não há arquivos .locked nem bilhetes de resgate. O ataque é puramente destrutivo; o objetivo é parar sua operação.

🧩 Array “Quebrado” – A controladora RAID (Dell PERC, HPE Smart Array, LSI) pode até exibir o RAID como “Saudável”, mas o volume lógico acima dele (Datastore VMFS, Volume NTFS/ReFS, ZFS Pool, Btrfs Volume) desapareceu.

Entendendo o Ataque de “Deleção de Volume” (Ataque de Terra Arrasada)

Este tipo de ataque ocorre quando o invasor obtém acesso administrativo e executa comandos para destruir o “mapa” lógico dos seus dados:

  • zpool destroy (ZFS / TrueNAS)
  • vgremove (LVM / Proxmox / XenServer)
  • Delete Datastore (VMware ESXi)
  • Delete LUN (Dell, HPE, Lenovo, NetApp)

Os seus dados ainda estão fisicamente nos discos, mas o índice mestre que os organizava foi apagado de propósito.

⚠️ A Regra de Ouro: Desligue o Storage/Servidor da Energia Imediatamente!

A deleção de volume aciona um inimigo perigoso: UNMAP/TRIM.
Enquanto o storage permanece ligado, o sistema operacional e o hipervisor continuam enviando comandos para “limpar” os blocos onde seus dados estavam.

  • TRIM/UNMAP = Apagamento físico dos blocos
  • Desligar = Parar a destruição imediatamente

Não tente recriar o pool, LUN ou datastore. Isso sobrescreve os metadados originais e destrói qualquer chance de recuperação.

Perguntas Frequentes (FAQ): Recuperação de Volume Deletado por Hacker

  1. Por que um hacker apagaria o volume ao invés de pedir resgate?
    • Ataque destrutivo (raiva, sabotagem, ex-funcionário).
    • Ransomware falho: a deleção funcionou, a criptografia não.
    • Ocultação de rastros após roubo de dados.

  2. O que é UNMAP/TRIM e por que é tão perigoso?
    UNMAP/TRIM é um comando enviado pelo servidor ou hipervisor ao storage dizendo: “Aquele espaço do volume deletado pode ser apagado.” SSDs e storages obedecem automaticamente, eliminando fisicamente os blocos. Desligar o equipamento é a única forma de interromper esse processo.

  3. O hacker deletou o LUN no meu storage Dell/HPE. Ainda há recuperação?
    Sim, desde que o UNMAP não tenha rodado por muito tempo.
    Os dados continuam nos discos; é uma recuperação de metadados do LUN.

  4. Como a E-Recovery recupera um volume deletado?

    Isolamento Imediato – Conectamos cada disco em write-blocker para impedir qualquer comando TRIM/UNMAP.
    Clonagem e Remontagem do RAID – Clonamos todos os discos e reconstruímos virtualmente o RAID (RAID 5, RAID 6, RAID 10, ZFS, SHR, Btrfs, etc.).
    Análise Forense dos Metadados – Usamos ferramentas avançadas para localizar uberblocks, headers de VMFS, estruturas LVM e metadados destruídos.
    Reconstrução do Volume – Recriamos o mapa lógico (Pool, LUN ou Datastore) desaparecido.
    Extração – Recuperamos VMs, bancos de dados e arquivos e os entregamos em mídia segura.

Seu banco de dados (SQL Server, MySQL, Oracle) foi criptografado e não “sobe”? Não delete os arquivos .mdf/.ldf/.dbf criptografados. Recuperamos tabelas e registros internos diretamente da estrutura do arquivo.

O seu servidor de banco de dados apresenta algum destes sintomas?

🔒 Arquivos de Dados Bloqueados – Os arquivos do banco (.mdf, .ldf, .dbf, .ibd) foram renomeados com a extensão do vírus (ex: banco.mdf.lockbit).

Serviço SQL Parado – O serviço do banco (SQL Server, MySQL) não inicia mais e exibe erros de “arquivo corrompido”, “cannot open database” ou “access denied”.

📄 Backup .BAK Criptografado – Os arquivos de backup (.bak, .dmp) também foram criptografados pelo ransomware.

Entendendo o Ataque ao Banco de Dados (Criptografia Parcial)

Bancos de dados são alvos estratégicos. Para criptografar um arquivo .mdf ou .dbf, o hacker primeiro derruba o serviço (ex: MSSQLSERVER), liberando o arquivo para escrita. Mas como esses arquivos são enormes, o ransomware usa criptografia parcial:

  • Criptografa apenas o início do arquivo
  • Criptografa blocos espaçados (intermitentes)
  • Criptografa apenas o final do arquivo
  • Mantém grande parte das páginas de dados intactas

Isso significa que o banco está quebrado, mas os dados internos ainda existem.

⚠️ A Regra de Ouro: Não Tente “Attach” o Banco Criptografado!
Se você tentar anexar (Attach) ou restaurar um .mdf criptografado:

  • O SQL Server pode tentar “corrigir” o cabeçalho
  • Páginas de dados podem ser descartadas
  • O dano se torna irreversível

Também não renomeie o arquivo para tentar abri-lo. Apenas o nome mudou; o conteúdo interno está corrompido pela criptografia parcial e precisa de reparo forense.

Perguntas Frequentes (FAQ): Recuperação de Banco de Dados Criptografado

  1. É possível recuperar um arquivo .MDF sem a chave do ransomware?
    Sim. Quando a criptografia é parcial (o mais comum), conseguimos ler e extrair as Data Pages intactas (blocos de 8KB) e reconstruir um novo banco de dados funcional.

  2. Meus backups (.BAK) também foram criptografados. A recuperação ainda é possível?
    Sim. Backups .bak e .dmp também podem ser parcialmente criptografados. Extraímos e restauramos o conteúdo interno que sobreviveu.

  3. Como a E-Recovery recupera um banco de dados atacado?

    Análise da Estrutura – Mapeamos os danos: cabeçalho, GAM/SGAM, PFS, páginas de dados, índices.
    Extração Forense – Lemos páginas que permaneceram intactas e exportamos tabelas e registros diretamente delas.
    Reconstrução do Banco – Criamos um novo banco e reinserimos os dados extraídos, reconstruindo tabelas, índices e relacionamentos.
    Validação – Testamos consistência e integridade antes de entregar.

Como Funciona Nosso Processo Forense de Recuperação de Ransomware

Veja como funciona o processo de análise forense de arquivos criptografados por ransomware, do começo ao fim, com total clareza, precisão técnica e sem surpresas.

Recebemos sua mídia e a isolamos imediatamente em nosso laboratório seguro (offline). Nossos analistas examinam a estrutura da criptografia e o bilhete de resgate para identificar a família do ransomware e verificar se existem chaves de descriptografia públicas ou falhas conhecidas no código do vírus.

Esta é a etapa chave. Realizamos uma varredura profunda de “baixo nível” no disco. Buscamos não apenas por Cópias de Sombra (Shadow Copies) do Windows, mas usamos técnicas de file carving para localizar e reconstruir os arquivos originais que foram deletados pelo vírus antes da criptografia.

Com base na análise forense, apresentamos um laudo transparente detalhando o que é recuperável (arquivos intactos vs. criptografados) e um orçamento fixo. Você saberá exatamente quais são as chances antes de gastar qualquer valor.

Executamos o plano de recuperação, extraindo os dados limpos para uma nova mídia. Todos os arquivos recuperados passam por uma rigorosa verificação de integridade e descontaminação, garantindo que você receba seus dados de volta sem nenhum vestígio do vírus (payload) ativo.

Atendimento em Todo o Brasil com Envio Gratuito

Por que Escolher a E-Recovery?

ANÁLISE GRATUITA/URGENTE

Envie os discos do seu servidor, NAS ou computador e receba um diagnóstico completo e sem compromisso em até 48 horas — ou análise emergencial em até 8 horas.

ÓTIMA AVALIAÇÃO

Nota 4,9 de 5,0 no Google comprova a confiança e satisfação de milhares de clientes, com mais de 110 avaliações verificadas, além de 150 depoimentos no site.

CONFIDENCIALIDADE

Garantimos total privacidade e segurança dos seus dados. Emitimos Termo de Confidencialidade (NDA) sempre que solicitado, com padrões de segurança de nível corporativo.

95% TAXA DE SUCESSO

Uma das maiores taxas de sucesso do Brasil. Se não recuperarmos seus dados, você não paga na maioria dos casos (exceto em situações específicas, mediante consulta).

EXPERIÊNCIA

Mais de 20 anos de experiência em TI, com centenas de casos bem-sucedidos de recuperação de dados em sistemas corporativos como NAS e Servidores RAID.

TECNOLOGIA

Utilizamos as ferramentas forenses mais avançadas do mercado, como PC-3000, DeepSpar, UFS Explorer, Magnet Forensics e técnicas proprietárias para maximizar as chances de recuperação.

O que os Clientes Falam da E-Recovery

Grandes empresas confiam na E-Recovery, você também pode confiar!

“No final do mês de março bem no inicio, aqui no Brasil, dos problemas com a Covid-19 iniciamos nossos trabalhos de home office e para ajudar tivemos o ataque de um Ransomware que criptografou todo o nosso servidor e formatou o backup, nos passaram o contato do Orlando da E-RECOVERY que foi nossa salvação pois ele recuperou o nosso backup que havia sido formatado. O serviço foi feito com qualidade e no prazos e condições pactuadas, recomendo.”
Politécnica Engenharia Ltda
Politécnica Engenharia LtdaEngenheiro Marcos Kazuo Moori
“Trabalho com suporte de TI em alguns escritórios de projetos na área de engenharia civil e já tive dois problemas de perda de dados em storages tipo NAS. No primeiro caso foi de crash de HD em que a equipe da E-recovery conseguiu recuperar quase a totalidade dos dados. No segundo caso tivemos a ação de um ransomware que afetou um storage da iomega configurado em raid 5 e neste caso, novamente contei com a ajuda da equipe da E-recovery, que conseguiu recuperar tudo o que precisávamos. Sucesso total.”
SFT Foxplus Sistemas de Informática Ltda
SFT Foxplus Sistemas de Informática Ltda Milton K Yoshida
recuperar-nas-lenovo-iomega

Estudo de Caso: Ataque de Ransomware e Volume Deletado em NAS Lenovo

Estudo de Caso — Politécnica Engenharia Ltda

Eng. Marcos Kazuo Moori

O Desafio (O “Golpe Duplo”)

No início da pandemia (mar/2020), durante a transição emergencial para o trabalho remoto, a Politécnica Engenharia sofreu um dos cenários mais devastadores possíveis.

O ransomware atacou o servidor principal e, em seguida, o hacker acessou o dispositivo de backup — um NAS Lenovo com 4 HDs de 2TB — deletando e formatando o volume inteiro para impedir qualquer possibilidade de restauração.

Resultado: A empresa ficou completamente paralisada, sem os dados ativos e sem o backup que deveria protegê-los.

A Solução (Processo Forense da E-Recovery)

A E-Recovery foi acionada como último recurso. Como o volume no NAS havia sido destruído, a estratégia não foi tentar “quebrar a criptografia”, mas sim resgatar o backup original por meio de técnicas forenses avançadas.

Clonagem Completa

Os 4 HDs foram removidos do NAS e clonados usando bloqueadores de escrita, garantindo que nenhum processo — humano, automático ou malicioso — pudesse sobrescrever os dados deletados.

Reconstrução Virtual do RAID

Nossos engenheiros remontaram virtualmente o arranjo RAID (Linux MDRAID) do NAS Lenovo, recriando o ambiente exato anterior ao ataque.

Forense de Volume — “Undelete” Profundo

Ignorando a formatação vazia deixada pelo hacker, nossos especialistas localizaram os metadados antigos (EXT4/XFS) ainda presentes no disco e reconstruíram o volume original.

Extração Segura dos Dados

O backup completo — considerado “perdido” — foi acessado e extraído com integridade total.

O Resultado (Sucesso Total)

A E-Recovery conseguiu recuperar o backup integralmente, permitindo que a Politécnica Engenharia retomasse suas operações sem pagar resgate e sem perder seu histórico de projetos, documentos técnicos e dados essenciais.

  • Zero pagamento a criminosos.
  • Zero perda de dados.
  • 100% de retorno às operações.

Mais de 250 Depoimentos de Clientes Satisfeitos

Com uma avaliação ⭐⭐⭐⭐⭐ de 4.9 / 5.0 em mais de 110 depoimentos no Google, e muitas outras história de sucesso compartilhadas diretamente em nosso site, a satisfação dos nossos clientes fala por si.

Descubra por que tantos confiam em nós para a recuperação de seus dados mais valiosos. Clique no botão abaixo e veja porque a E-Recovery é empresa com melhor reputação do mercado.

Veja Todos Nossos Casos de Sucesso

Não tente formatar. Fale com especialistas agora mesmo!

Clique abaixo e peça sua avaliação gratuita. Preencha o formulário abaixo para um diagnóstico e orçamento gratuitos ou chame-nos no WhatsApp.

Endereço:

Av Professor Noé de Avevedo 208 cj 65 - Vila Mariana - São Paulo/SP - CEP 04117-000

Telefone / WhatsApp

Voz: (11) 3422-0066

WhatsApp: (11) 93075-5919

E-Mail

contato@e-recovery.com.br

FORMULÁRIO DE SOLICITAÇÃO DE ORÇAMENTO:

Perguntas Frequentes sobre Ransomware

Aqui respondemos às dúvidas mais comuns de nossos clientes para que você se sinta seguro e bem-informado durante todo o processo. Se a sua dúvida for outra, entre em contato com nossa equipe de atendimento.

Na grande maioria dos casos, nossa avaliação na modalidade padrão (prazo de até 48 horas úteis) é isenta de custos.

Para situações de urgência, onde a prioridade máxima é necessária, disponibilizamos a opção de Avaliação Emergencial mediante uma taxa de urgência.

Notas Importantes:

  1. Casos de Alta Complexidade: Em projetos específicos, como Sistemas RAID (Servidores/Storages) ou unidades de grande capacidade (High Capacity Drives), uma taxa de análise técnica poderá ser aplicada — independentemente do prazo escolhido — devido à infraestrutura e horas de engenharia necessárias para o diagnóstico.

  2. Objetivo da Avaliação: A avaliação inicial tem como finalidade identificar a falha, determinar a viabilidade técnica da recuperação e estipular o orçamento. A confirmação definitiva do sucesso e a lista de arquivos recuperáveis são obtidas apenas durante a execução do serviço.

Devido à alta complexidade técnica e à alocação intensiva de recursos necessários para casos de ataque por Ransomware, nossa estrutura de custos é composta por duas etapas distintas:

1. Taxa Inicial de Engajamento e Alocação de Recursos

  • Valor: Variável

  • Condição: Este valor fixo cobre os custos operacionais, a alocação de engenharia especializada e o uso de infraestrutura para a tentativa de recuperação. Ele é devido independentemente do resultado final (sucesso ou insucesso) e deve ser pago no início do processo.

2. Valor de Êxito (Tentativa de Recuperação)

  • Valor: Variável

  • Condição: Este valor adicional será cobrado somente se a recuperação dos dados for bem-sucedida (total ou parcialmente, mediante validação do cliente).

Entenda os Cenários Possíveis para um caso hipotético onde a taxa inicial é de R$ 3.000,00 e a eventual recuperação dos dados de R$ 7.000,00:

  • Cenário A (Resultado Negativo): Caso a recuperação não seja tecnicamente viável, o investimento total do cliente limita-se à taxa inicial de R$ 3.000,00. Não haverá cobrança do valor de êxito.

  • Cenário B (Resultado Positivo – Sucesso): Caso os dados sejam recuperados, o investimento total será de R$ 10.000,00 (sendo R$ 3.000,00 da taxa inicial + R$ 7.000,00 do valor de êxito).

A recuperação depende de vários fatores: se o vírus tem falhas no código, se existem chaves de descriptografia públicas ou, o mais comum, se conseguimos recuperar os arquivos originais deletados (File Carving) antes que fossem sobrescritos. O diagnóstico dirá exatamente o que é possível.

Nós recomendamos fortemente que NÃO.

  1. Não há garantia: Criminosos podem receber o dinheiro e sumir, ou enviar uma chave que não funciona.

  2. Financia o Crime: Pagar incentiva novos ataques contra você e outras empresas.

  3. Risco Legal: Em alguns países, pagar resgate para grupos terroristas cibernéticos pode ter implicações legais. Fale conosco antes de tomar qualquer decisão desesperada.

Cuidado! O antivírus remove o agente infeccioso (o programa .exe), mas ele não descriptografa os arquivos. Pior: alguns antivírus identificam os arquivos criptografados como “infectados” e os deletam. Se o antivírus deletou a nota de resgate ou arquivos temporários, ele pode ter apagado informações cruciais para a recuperação forense.

A urgência é nossa prioridade.

  • Diagnóstico: Em até 8 horas corridas no modo emergencial (pago) ou 48 horas no modo normal (gratuit0).

  • Execução: Geralmente de 1 a 4 dias. O processo de “File Carving” (varredura profunda setor por setor) em servidores grandes pode levar tempo, mas trabalhamos em regime 24×7 para casos críticos.

A recuperação de dados foca em trazer seus arquivos de volta. Sobre o vazamento: alguns grupos de ransomware (como LockBit) praticam a “dupla extorsão” (roubam dados antes de criptografar). Sobre o nosso sigilo: Assinamos um rigoroso NDA (Acordo de Confidencialidade). Todo o trabalho é feito em ambiente “air-gapped” (sem conexão com a internet) para garantir que não haja nenhum risco de vazamento ou reinfeção durante o processo.

Não. Antes de entregar os dados recuperados, nós realizamos uma higienização e descontaminação completa. Você receberá seus arquivos limpos (bancos de dados, planilhas, fotos) em uma nova mídia segura, prontos para serem usados sem risco de reinfectar sua rede.

Para garantir a segurança e evitar reinfeção, nós entregamos os dados recuperados em uma mídia nova e limpa (HD Externo ou Storage) que deve ser fornecida pelo cliente. Nunca gravamos os dados de volta nos discos infectados originais. Ou podemos devolver os dados através da nuvem com custo adicional.

{ "@context": "https://schema.org", "@graph": [ { "@type": "Organization", "@id": "https://www.e-recovery.com.br/#organization", "name": "E-Recovery", "url": "https://www.e-recovery.com.br/", "description": "Laboratório especializado em recuperação de dados forense para servidores, NAS, storages, estações de trabalho e dispositivos removíveis. Atendimento B2B e B2C com foco em recuperação de ransomware, servidores, NAS e dispositivos físicos.", "service": [ { "@type": "Service", "@id": "https://www.e-recovery.com.br/recuperar-ransomware/#service-recovery-ransomware" }, { "@type": "Service", "@id": "https://www.e-recovery.com.br/recuperar-ransomware/#service-recovery-data-ransomware" } ] }, { "@type": "WebSite", "@id": "https://www.e-recovery.com.br/#website", "url": "https://www.e-recovery.com.br/", "name": "E-Recovery", "publisher": { "@id": "https://www.e-recovery.com.br/#organization" } }, { "@type": "WebPage", "@id": "https://www.e-recovery.com.br/recuperar-ransomware/#webpage", "url": "https://www.e-recovery.com.br/recuperar-ransomware/", "inLanguage": "pt-BR", "name": "Recuperação de Ransomware", "description": "Serviço de recuperação forense de dados após ataques de ransomware em servidores, NAS, storages, máquinas virtuais e estações de trabalho. Análise da variante, clonagem segura, file carving, restauração de backups e extração de dados sem pagamento de resgate quando possível.", "isPartOf": { "@id": "https://www.e-recovery.com.br/#website" }, "primaryImageOfPage": { "@type": "ImageObject", "url": "https://www.e-recovery.com.br/wp-content/uploads/hero-ransomware.jpg" }, "breadcrumb": { "@type": "BreadcrumbList", "itemListElement": [ { "@type": "ListItem", "position": 1, "name": "Home", "item": "https://www.e-recovery.com.br/" }, { "@type": "ListItem", "position": 2, "name": "Serviços", "item": "https://www.e-recovery.com.br/servicos/" }, { "@type": "ListItem", "position": 3, "name": "Recuperação de Ransomware", "item": "https://www.e-recovery.com.br/recuperar-ransomware/" } ] } }, { "@type": "Service", "@id": "https://www.e-recovery.com.br/recuperar-ransomware/#service-recovery-ransomware", "name": "Recuperação de Ransomware", "serviceType": "Recuperação de Ransomware", "url": "https://www.e-recovery.com.br/recuperar-ransomware/", "description": "Recuperação forense de sistemas e arquivos criptografados por ransomware em servidores, NAS, storages, VMs e PCs. Inclui isolamento, análise da variante, clonagem bit-a-bit, varredura forense (file carving e Shadow Copies), reconstrução de volumes e extração segura dos dados.", "areaServed": { "@type": "Country", "name": "Brasil" }, "provider": { "@id": "https://www.e-recovery.com.br/#organization" } }, { "@type": "Service", "@id": "https://www.e-recovery.com.br/recuperar-ransomware/#service-recovery-data-ransomware", "name": "Recuperação de Dados de Ransomware", "serviceType": "Recuperação de Dados de Ransomware", "url": "https://www.e-recovery.com.br/recuperar-ransomware/", "description": "Serviço específico para recuperação de dados após ataque de ransomware: recuperação de arquivos deletados por Qlocker/DeadBolt, remontagem de RAID/Datastore, recuperação de bancos de dados (.mdf, .ibd), extração de backups e recuperação de VMs (.vmdk/.vhdx). Processo forense com laudo de viabilidade.", "areaServed": { "@type": "Country", "name": "Brasil" }, "provider": { "@id": "https://www.e-recovery.com.br/#organization" } } ] }

A E-Recovery é recomendada por grandes empresas, e nossos clientes nos avaliam com nota 4.9 / 5.0 no Google. Se for possível, nós recuperaremos seus dados!

Endereço:

Av Prof Noé de Azevedo 208, cj 65

(11) 3422-0066 / (11) 93075-5919

contato@e-recovery.combr

Seg-Sex 09:00h - 18:00h

© 2025 - E-Recovery Recuperação de Dados