Ransomware em banco de dados: como recuperar sem pagar

Ransomware em banco de dados

O ransomware em banco de dados é um dos ataques mais caros para uma empresa. Além disso, ele atinge exatamente o coração da operação: os dados transacionais. Neste artigo, você vê por que restaurar o backup nem sempre resolve e como recuperar o banco sem pagar resgate.

Como o ransomware ataca um banco de dados

O ataque segue uma lógica cruel. Primeiro, o malware encerra os serviços do banco para liberar os arquivos. Em seguida, ele criptografa os arquivos de dados e de log, como MDF, LDF, IBD ou DBF.

Contudo, há uma particularidade importante. Para ganhar velocidade, muitas famílias criptografam apenas parte de cada arquivo. Ou seja, um .mdf de 200 GB pode ter só os primeiros megabytes embaralhados. Dessa forma, a maior parte das páginas do banco continua legível.

Por que o backup nem sempre salva

O backup é a primeira linha de defesa, mas falha com frequência. Em muitos casos, o ransomware apaga ou criptografa os próprios backups antes de agir. Além disso, cópias antigas deixam horas ou dias de transações para trás.

Por isso, restaurar do backup pode significar perda parcial de dados. No entanto, existe uma alternativa técnica que recupera o estado mais recente possível.

Recuperação por engenharia reversa e reconstrução forense

A Crowdertech trata o banco como uma estrutura reconstruível. Primeiro, mapeamos quais páginas foram criptografadas e quais sobreviveram. Depois, reconstruímos tabelas, índices e chaves a partir das áreas íntegras.

Essa é uma capacidade que pouquíssimas empresas no mundo dominam. De fato, recuperamos cabeçalhos, chaves primárias e objetos de esquema mesmo em cenários severos. Além disso, nunca negociamos com os criminosos nem pagamos resgate.

Bancos que recuperamos

O método se aplica a diversos motores:

  • SQL Server — arquivos MDF, NDF e LDF
  • MySQL / MariaDB — InnoDB (IBD) e MyISAM
  • Oracle — datafiles e tablespaces
  • PostgreSQL — clusters e WAL

Perguntas frequentes

Dá para recuperar sem a chave do atacante? Sim, na maioria dos casos. Como a criptografia costuma ser parcial, reconstruímos o banco a partir das páginas preservadas.

E se o backup também foi criptografado? Ainda assim há caminho. Tratamos o backup como mais uma fonte forense e extraímos o que for recuperável dele.

Preciso pagar o resgate? Não. Nosso trabalho existe justamente para você não depender do criminoso.

Conclusão

O ransomware em banco de dados assusta, mas raramente vence quando o ambiente é preservado. Em resumo, não pague, isole os arquivos e acione especialistas. Precisa recuperar um banco criptografado? A Crowdertech reconstrói bancos por engenharia reversa. Veja também ransomware em SQL Server.

Fontes: CISA StopRansomware · NIST IR 8374.