Por que parte do VMDK frequentemente sobrevive
ESXi-cryptors modernos otimizam para velocidade: cifrar 50 TB completamente leva horas. Para um ataque que precisa ser rápido (antes de detecção), os operadores cifram apenas os primeiros megabytes de cada VMDK — o suficiente para destruir o cabeçalho VMFS e tornar o disco inacessível pela montagem normal. Dados internos da VM (NTFS dentro do VMDK) frequentemente permanecem intactos. Recuperação técnica explora isso.
Erros catastróficos em recuperação ESXi
- 1.Tentar fix-vmfs no datastore original. Comandos de reparo do ESXi tentam reescrever metadados. Se executar com datastore parcialmente cifrado, destrói o que ainda era legível.
- 2.Apagar VMDKs cifrados achando que 'só atrapalham'. Mesmo cifrados, o conteúdo interno pode ser extraído. Apagar é irreversível.
- 3.Restaurar VM em datastore antigo. Datastore comprometido tem persistência. Use storage limpo.
- 4.Ignorar logs vCenter pós-incidente. Logs do vCenter mostram quem logou, quando, de que IP. Crítico para forense e para evitar reinfecção.
Fluxo de recuperação em 5 passos
- 1
Snapshot do datastore inteiro ANTES de qualquer ação
Conecte storage do datastore em ambiente isolado read-only ou crie snapshot LUN no SAN. Trabalhe sempre em cópia, nunca no original. O cabeçalho cifrado pode ser único — perder = inviabiliza tentativa.
- 2
Identifique limites de VMDK no datastore
Sem o cabeçalho VMFS funcional, parsing manual com ferramentas como UFS Explorer Professional, R-Studio ou DMDE. Cada arquivo VMDK começa com magic number e é alinhado em blocos de 1 MB.
- 3
Extraia conteúdo bruto dos VMDKs identificados
Mesmo sem montar normalmente, ferramentas profissionais leem o conteúdo bruto. Resultado: imagem dd do disco virtual interno (geralmente NTFS, ext4 ou XFS para Linux VMs).
- 4
Recupere arquivos dentro do filesystem
Imagem dd do passo 3 pode ser montada com testdisk, photorec ou ferramentas forenses. NTFS interno frequentemente intacto. Banco SQL Server, arquivos de aplicação, prontuários médicos extraíveis.
- 5
Reconstrua VMs em ambiente novo
Não restaure na infraestrutura comprometida. Provisione vCenter novo, ESXi limpo, crie VMs novas e migre os arquivos recuperados. Hardening simultaneamente (passos do post de hardening Windows).
Perguntas frequentes
Qual taxa de sucesso de recuperação ESXi pós-ransomware?
Variável por caso. Com snapshot do datastore intacto + cifragem parcial (cabeçalho apenas): 70-90% dos dados internos recuperáveis. Cifragem total ou storage físico comprometido: 20-40%. Sem backup, recuperação técnica do datastore é única alternativa antes de considerar pagamento.
Quanto tempo leva?
Datastore de 10 TB: 3-7 dias úteis. 50 TB: 10-20 dias úteis. Tempo depende de complexidade do filesystem interno das VMs e quantidade de VMs.
Posso fazer eu mesmo sem laboratório?
Tecnicamente sim com UFS Explorer Professional (~US$ 1.500 licença), mas curva de aprendizado é alta. Erros destroem dados. Para caso corporativo crítico, laboratório especializado é mais barato considerando risco de erro.
E se o storage físico SAN também foi atacado?
Caso mais complexo. Se SAN tem snapshot de array level (NetApp, Pure, Dell EMC) pré-incidente intacto, pode-se restaurar. Sem snapshot, recuperação física da SAN é necessária.
Backup Veeam consegue restaurar pós-ataque?
Se backup era imutável (Hardened Repository / Object Lock) e não foi alcançado pelo atacante: sim, restaurar em ambiente novo. Se backup mutável foi também cifrado: precisa recuperar o storage.
Datastore ESXi cifrado por ransomware?
Especialistas VMware. Snapshot de preservação em até 6h. Cadeia de custódia documentada.