Guia definitivo de recuperação de dados: 42 perguntas e respostas

guia definitivo de recuperação de dados com FAQ completo sobre HD RAID banco de dados e VM

Este guia definitivo de recuperação de dados reúne 42 perguntas respondidas com profundidade técnica. Além disso, ele cobre todos os cenários relevantes: HD mecânico, SSD, RAID, banco de dados, máquinas virtuais, ransomware, formatação acidental e prevenção. Neste guia, você encontra desde os fundamentos até os casos mais complexos do ambiente corporativo brasileiro.


1. Fundamentos: o que é e como funciona

O que é recuperação de dados?

A recuperação de dados é o processo técnico de resgatar arquivos, registros ou estruturas que ficaram inacessíveis por falha física, lógica ou ação criminosa. Ela atua sobre a mídia original ou sobre uma cópia forense e extrai o conteúdo recuperável sem depender de backup anterior. Em outras palavras, a recuperação trabalha com o que ainda existe na mídia, mesmo quando o sistema operacional não consegue acessar nada.

Qual a diferença entre recuperação de dados e restauração de backup?

A restauração usa uma cópia previamente guardada para repor os dados. A recuperação, por outro lado, extrai os dados diretamente da mídia danificada, sem depender de cópia anterior. Portanto, quando o backup não existe, falhou ou está desatualizado, a recuperação de dados é o único caminho possível para resgatar a informação.

Qual a diferença entre falha física e falha lógica?

A falha física envolve dano ao hardware: cabeça de leitura do HD, motor, controladora do SSD ou prato magnético. Já a falha lógica atinge a estrutura de dados: tabela de partições, sistema de arquivos, cabeçalhos de banco ou metadados do volume. Na prática, muitos casos combinam os dois tipos ao mesmo tempo, o que exige uma abordagem que trata hardware e software em paralelo.

A recuperação de dados tem limite de tempo?

Sim, e o tempo importa muito em alguns cenários. No SSD com TRIM ativo, por exemplo, os blocos de um arquivo apagado desaparecem em minutos. Já no HD mecânico, os dados persistem fisicamente até a área ser sobrescrita, o que pode levar dias ou semanas. Portanto, parar de usar o dispositivo afetado imediatamente é sempre a ação mais importante, independentemente de quanto tempo já passou desde a falha.

Recuperação de dados é a mesma coisa que forense digital?

Não exatamente, mas as duas disciplinas compartilham técnicas. A forense digital foca em preservar a cadeia de custódia e extrair evidências para uso jurídico. A recuperação de dados foca em devolver o conteúdo perdido ao usuário ou à empresa. Contudo, uma boa recuperação usa metodologia forense — como a imagem setor a setor com hash criptográfico — para garantir rastreabilidade e não contaminar a evidência original.


2. Primeiras ações: o que fazer e o que nunca fazer

O que fazer nas primeiras horas após perder os dados?

A primeira ação é simples: pare de usar o dispositivo afetado imediatamente. Em seguida, não instale nada no mesmo volume, não reinicie o servidor repetidamente e não reformate nada. Além disso, anote o horário exato da falha e os sintomas observados, pois essas informações aceleram o diagnóstico do especialista. A ação mais valiosa que você pode tomar nas primeiras horas é preservar o estado e chamar um especialista antes de qualquer improviso.

Quais são os cinco erros que eliminam as chances de recuperação?

Cinco erros são especialmente graves e frequentes. Primeiro, reinstalar o sistema operacional no disco afetado sobrescreve dados que ainda existiam nos blocos. Segundo, forçar um rebuild de RAID sem imagem prévia grava paridade incorreta sobre dados íntegros. Terceiro, usar ferramentas de reparo automático em bancos de dados corrompidos apaga páginas em vez de recuperá-las. Quarto, abrir um HD com ruídos de clique fora de sala limpa danifica os pratos de forma irreversível. Quinto, aceitar a sugestão de formatação que o Windows exibe ao detectar um volume RAW apaga as referências de alocação de todos os arquivos.

Posso usar software de recuperação antes de chamar um especialista?

Depende do cenário. Em exclusões acidentais simples em HDs saudáveis, softwares como Recuva, PhotoRec ou TestDisk resolvem casos simples sem risco adicional. No entanto, quando há falha física, corrupção grave de banco de dados, RAID degradado ou ataque de ransomware, essas ferramentas podem agravar o problema ao tentar acessar setores defeituosos repetidamente. Portanto, avalie o tipo de falha antes de instalar qualquer ferramenta, e prefira rodar o software sobre uma imagem do disco — nunca sobre o original.


3. Recuperação de HD mecânico e SSD

Como funciona a recuperação de HD mecânico?

O processo começa pela clonagem setor a setor do disco, ignorando setores defeituosos com segurança por meio de ferramentas como ddrescue. Dessa forma, o especialista cria uma imagem forense e trabalha sobre a cópia, sem estressar o HD original. Em seguida, ele reconstrói a estrutura do sistema de arquivos e extrai os dados a partir da imagem. Quando há falha física, como cabeças de leitura danificadas, o reparo de hardware antecede a clonagem e acontece sempre em sala limpa com classificação ISO 5 ou superior.

O ruído de clique no HD significa perda total?

Não necessariamente, mas é um sinal crítico que exige ação imediata. O clique indica que as cabeças de leitura não localizam o servo, o que resulta de falha das próprias cabeças ou de dano na superfície dos pratos magnéticos. Por isso, desligue o HD imediatamente ao ouvir esse som e não tente ligar novamente. Cada nova tentativa de boot força as cabeças a rapar a superfície, o que destrói dados que ainda estariam recuperáveis.

Como a recuperação de SSD difere do HD?

O SSD usa memória flash e não tem partes móveis, o que elimina falhas mecânicas. Contudo, ele apresenta três desafios exclusivos: o TRIM apaga blocos liberados em tempo real; o controlador criptografa os dados em muitos modelos; e o desgaste das células cria falhas silenciosas sem sintomas físicos. Além disso, quando o controlador falha, o acesso às células NAND exige leitura em nível de chip com equipamento específico, o que a maioria das empresas de recuperação não consegue executar.

O que é o TRIM e por que ele complica a recuperação de SSD?

O TRIM é um comando que avisa ao SSD quais blocos o sistema operacional marcou como disponíveis, para que o controlador os apague antecipadamente e mantenha a performance de gravação. Dessa forma, o dado de um arquivo excluído desaparece dos blocos em segundos, sem que o usuário note. Portanto, em SSDs com TRIM ativo, a janela de recuperação após uma exclusão acidental é muito menor do que em HDs e depende criticamente de parar o dispositivo antes que o idle garbage collection execute.


4. RAID e storages corporativos

Como funciona a recuperação de RAID?

A recuperação começa pela imagem individual de cada disco, sem tocar no arranjo físico. Em seguida, o especialista reconstrói a geometria do RAID em software: ordem dos discos, tamanho do stripe e rotação da paridade. Depois, ele monta o volume virtualmente e acessa o sistema de arquivos sobre a reconstrução. Dessa forma, o arranjo físico nunca sofre modificação durante o processo, o que protege os dados originais de qualquer dano adicional.

RAID é a mesma coisa que backup?

Não, e confundir os dois é um dos erros mais caros do ambiente corporativo. O RAID protege contra falha de um disco físico ao criar redundância entre as unidades. No entanto, ele não protege contra exclusão acidental, ataque de ransomware ou corrupção lógica, porque essas ações atingem todos os discos ao mesmo tempo. Portanto, RAID e backup cumprem funções diferentes e nenhum substitui o outro.

NAS sem acesso ainda tem dados recuperáveis?

Sim, na grande maioria dos casos. O NAS agrupa discos em RAID e usa sistemas de arquivos como EXT4, Btrfs ou XFS. Quando o RAID degrada ou o sistema de arquivos corrompe, os dados físicos nos discos permanecem intactos. Por isso, preserve todos os discos na ordem original, não reformate e não troque a posição das unidades antes de acionar um especialista, porque a ordem dos discos define a lógica de paridade.

O que é storage SAN e como ele falha?

O SAN (Storage Area Network) apresenta volumes lógicos chamados LUNs para servidores via Fibre Channel ou iSCSI. Ele falha por pane da controladora, degradação do RAID interno, perda de mapeamento de LUN ou atualização de firmware malsucedida. Contudo, assim como no NAS, os dados nos spindles ou SSDs internos costumam permanecer íntegros mesmo após a falha da controladora. Portanto, nunca descarte os discos de um SAN sem diagnóstico forense prévio.

ZFS protege contra tudo?

O ZFS oferece proteção robusta por meio de checksums automáticos, copy-on-write e self-healing. Dessa forma, ele detecta e corrige corrupção silenciosa automaticamente quando há redundância disponível. No entanto, quando o pool perde mais discos do que o RAID-Z tolera, ou quando o próprio pool exporta com erros em cadeia, a recuperação exige intervenção especializada. Além disso, deletar datasets ou snapshots por engano produz perda que o ZFS não reverte sozinho.


5. Banco de dados

Como funciona a recuperação de banco de dados corrompido?

Os motores de banco de dados organizam os dados em páginas internas de 8 a 16 KB. Quando o banco corrompe, o especialista clona os arquivos de dados e os analisa página a página, identificando quais estruturas sobreviveram intactas. Em seguida, ele reconstrói tabelas, índices, chaves e objetos de esquema a partir das páginas íntegras. Portanto, corrupções parciais raramente resultam em perda total, porque a estrutura por páginas permite recuperação granular do conteúdo.

Dá para recuperar banco de dados sem backup?

Sim, desde que os arquivos de banco ainda existam no disco. SQL Server, MySQL, Oracle e PostgreSQL gravam os dados em arquivos estruturados com metadados que identificam cada tabela e registro individualmente. Dessa forma, o especialista extrai o conteúdo por leitura forense direta, sem depender de backup. Em muitos casos, a taxa de recuperação supera 90% do conteúdo original.

SQL Server, MySQL, Oracle e PostgreSQL têm processos de recuperação iguais?

O princípio é o mesmo — imagem dos arquivos, leitura forense de página e reconstrução do esquema — mas cada motor tem arquitetura interna própria. O SQL Server usa páginas de 8 KB no arquivo MDF com cabeçalho de página rastreável. O MySQL InnoDB usa blocos de 16 KB no IBD e depende do dicionário de dados para reconstruir o esquema. O PostgreSQL armazena cada relação em arquivos numerados por OID dentro do cluster. O Oracle depende de datafiles, tablespaces, undo segments e redo logs encadeados. Portanto, o especialista precisa conhecer a arquitetura interna de cada motor para trabalhar com eficiência.

O DBCC CHECKDB ou mysqlcheck resolvem corrupções graves?

Em corrupções leves, sim. Contudo, em casos severos, essas ferramentas de reparo nativo apagam as páginas inconsistentes para restaurar a estrutura lógica do banco, o que destrói dados que um especialista recuperaria por forense. Por isso, antes de executar qualquer reparo automático, faça uma imagem dos arquivos de banco com o serviço parado. Dessa forma, você preserva a possibilidade de recuperação mesmo se o reparo automático falhar.

O banco de dados pode corromper sem nenhum aviso?

Sim. Muitos bancos apresentam corrupção silenciosa por tempo indeterminado antes de a falha se manifestar para o usuário. Por exemplo, setores defeituosos criam erros de checksum em páginas específicas que o banco ignora até precisar ler aquele registro. Portanto, executar DBCC CHECKDB no SQL Server, VACUUM ANALYZE no PostgreSQL ou CHECK TABLE no MySQL de forma preventiva e regular detecta problemas antes que eles se tornem crises.


6. Máquinas virtuais

Como funciona a recuperação de VM corrompida?

A recuperação começa pela cópia de todos os arquivos da VM: o disco virtual principal (VMDK ou VHDX), os arquivos delta de snapshot e o arquivo de configuração da máquina. Em seguida, o especialista analisa a estrutura interna do disco virtual, reconstrói a cadeia de snapshots se necessário e monta o disco em ambiente isolado. Depois, ele extrai os dados internos ou testa o boot da VM recuperada, dependendo do objetivo do cliente.

VMDK e VHDX: qual tem diferença na recuperação?

Ambos são contêineres de disco virtual, mas com estruturas internas distintas. O VMDK separa o arquivo descritor dos dados em arquivos independentes e usa o VMFS como sistema de arquivos do datastore, o que adiciona uma camada extra de recuperação quando o próprio datastore falha. Já o VHDX carrega metadados e dados em um único arquivo com journaling interno, o que reduz a corrupção por queda de energia. Contudo, o princípio de recuperação é o mesmo para ambos: imagem forense primeiro, análise da estrutura depois.

Snapshot deletado por engano ainda tem dados recuperáveis?

Em muitos casos, sim. O arquivo delta (AVHDX ou VMDK delta) permanece fisicamente no disco até a área de storage receber novas gravações. Portanto, ao perceber a deleção, pare imediatamente o host e não crie novas VMs no mesmo datastore. Além disso, quando o sistema ainda não consolidou a deleção, o arquivo frequentemente aparece na estrutura de diretórios do storage mesmo sem referência no gerenciador de VMs.

O que é a recuperação de VMFS e quando ela é necessária?

O VMFS é o sistema de arquivos distribuído da VMware para datastores ESXi. Quando os metadados do VMFS corrompem — por queda do host ESXi, falha de storage ou interrupção elétrica — o ESXi não consegue montar o datastore, mas os VMDKs permanecem íntegros nos blocos físicos. Nesses casos, o especialista reconstrói os metadados do VMFS diretamente no device bruto e recupera o acesso às VMs sem precisar reinstalar o ESXi ou reformatar o storage.


7. Ransomware

O ransomware destrói os dados ou apenas os bloqueia?

Na grande maioria dos casos, ele bloqueia, não destrói. O ransomware criptografa os arquivos e exige a chave para reverter o processo. Além disso, para ganhar velocidade em arquivos grandes — como bancos de dados, VMDKs e VHDXs — muitas famílias usam criptografia parcial e embaralham apenas trechos do arquivo. Portanto, boa parte do conteúdo original permanece intacta nos blocos, o que abre uma janela real de recuperação forense.

Por que não devo pagar o resgate?

Por quatro razões concretas. Primeiro, não há garantia de que os criminosos entreguem uma chave funcional — uma fração significativa das vítimas que paga não recebe o decodificador. Segundo, o decodificador deles costuma ser malfeito e pode corromper os dados durante o processo. Terceiro, o pagamento financia novos ataques e pode violar sanções internacionais dependendo do grupo criminoso. Quarto, alternativas técnicas de recuperação existem e funcionam sem depender do atacante. A Crowdertech não negocia com criminosos em nenhuma hipótese.

Dá para recuperar dados de ransomware sem a chave do atacante?

Sim, em muitos cenários. Quando o ransomware usa criptografia parcial, o especialista identifica as áreas não cifradas e reconstrói os dados a partir delas por engenharia reversa do padrão de ataque. Além disso, falhas de implementação em algumas famílias permitem extrair parâmetros da chave do próprio binário. Por outro lado, para famílias com implementação criptográfica robusta e criptografia integral dos arquivos, a recuperação depende das áreas preservadas nos discos ou de versões anteriores em backup.

Qual a diferença entre ransomware que criptografa arquivos e o que criptografa o MBR?

O ransomware de arquivo, como LockBit e BlackCat, criptografa os arquivos individualmente e mantém o sistema operacional funcionando para exibir a nota de resgate. Já o ransomware de MBR sobrescreve o setor de inicialização e bloqueia o próprio boot da máquina antes de qualquer interação. Portanto, a estratégia de recuperação muda: no de arquivo, o especialista trabalha sobre os dados diretamente; no de MBR, ele repara o boot primeiro e trata os dados em seguida.

O ransomware também ataca ambientes virtualizados?

Sim, e os ambientes virtualizados se tornaram alvos prioritários exatamente por concentrarem muitas VMs em um único ponto de ataque. O atacante que compromete o hipervisor ESXi, o host Hyper-V ou o cluster Proxmox criptografa dezenas de VMs de uma vez. Contudo, esse mesmo padrão de ataque rápido força o uso de criptografia parcial nos discos virtuais, o que frequentemente preserva boa parte do conteúdo e viabiliza a recuperação por engenharia reversa.


8. Cenários específicos

Formatação acidental tem como reverter?

Sim, especialmente após formatação rápida. A formatação rápida apaga apenas a tabela de alocação do sistema de arquivos, não o conteúdo real dos blocos. Por isso, os dados persistem fisicamente até novas gravações os sobrescreverem. Contudo, a formatação completa varre setor a setor e zera cada um, o que torna a recuperação muito mais difícil — ainda possível em HDs por remanência magnética, mas improvável em SSDs com TRIM ativo.

Queda de energia pode corromper dados de forma permanente?

Pode corromper, mas raramente de forma permanente e total. A queda de energia durante uma gravação deixa páginas de banco de dados ou estruturas de sistema de arquivos incompletas em memória e não confirmadas no disco. Sistemas modernos com journaling, como NTFS e EXT4, se recuperam automaticamente na maioria dos casos no próximo boot. No entanto, quando o journal também corrompe ou quando o banco estava no meio de uma transação crítica envolvendo múltiplos arquivos, a intervenção especializada recupera o que o sistema não conseguiu.

Um arquivo deletado do HD ainda existe fisicamente no disco?

Sim. Quando você deleta um arquivo, o sistema operacional marca o espaço como disponível na tabela de alocação, mas não apaga o conteúdo físico dos blocos. Dessa forma, o dado persiste no disco até o sistema gravar novos arquivos sobre aquela área exata. Por isso, parar de usar o disco imediatamente após a exclusão é o fator mais decisivo para maximizar a taxa de recuperação — cada nova gravação sobrescreve potencialmente parte do conteúdo recuperável.

E se o próprio backup também foi criptografado pelo ransomware?

Ainda há caminhos. O especialista trata o backup criptografado como mais uma fonte forense e analisa as áreas não atingidas dentro do arquivo de backup. Além disso, backups em tape, offsite ou em nuvem com versionamento costumam escapar do ransomware, porque o malware prioriza discos montados localmente. Por outro lado, versões anteriores de registros em log shipping do SQL Server ou no WAL do PostgreSQL frequentemente contêm transações que o último backup não capturou.

O que acontece com um HD guardado parado por anos?

HDs guardados por longos períodos tendem a desenvolver setores defeituosos por desmagnetização gradual dos pratos e degradação do lubrificante das cabeças. Além disso, modelos com firmware problemático podem bloquear o acesso logo na primeira energização após anos parado. Por isso, antes de ligar um HD antigo com dados importantes, avalie o risco com um especialista, que pode imageá-lo em ambiente controlado com técnicas que reduzem o estresse da primeira leitura.


9. O processo profissional

O que é uma sala limpa e quando ela é necessária?

A sala limpa é um ambiente com controle rigoroso de partículas no ar, com classificação ISO 5 (classe 100) ou superior. Um HD precisa de abertura em sala limpa quando apresenta falha física das cabeças de leitura, contaminação dos pratos ou dano ao motor. O motivo é simples: a distância entre o prato magnético e a cabeça de leitura é menor que 10 nanômetros. Uma partícula de poeira comum mede centenas de vezes essa distância, portanto qualquer abertura fora da sala limpa provoca riscos nos pratos que apagam dados permanentemente.

O que é imagem forense e por que ela é o primeiro passo de toda recuperação?

A imagem forense é uma cópia setor a setor da mídia afetada, incluindo setores defeituosos, áreas livres e espaços aparentemente vazios. Ela garante que o especialista trabalhe sempre sobre a cópia e nunca sobre o original, o que preserva o estado da evidência independentemente do que aconteça durante a análise. Além disso, a imagem gera um hash criptográfico — MD5 ou SHA-256 — que comprova matematicamente a integridade de cada bit copiado. Por isso, toda boa recuperação começa com a imagem forense, e qualquer serviço que pule essa etapa opera sem rede de segurança.

Quanto tempo leva uma recuperação de dados?

Depende da complexidade do caso. Exclusões acidentais simples em HDs saudáveis retornam os dados em horas. Corrupções de banco de dados de produção voltam em 24 a 72 horas na maioria dos cenários. Recuperações de RAID complexos ou ambientes de ransomware extensos levam de dois a cinco dias. Por outro lado, cases com dano físico grave, múltiplos discos de grande capacidade ou criptografia integral podem levar semanas de trabalho técnico.

O que contém um laudo técnico de recuperação de dados?

Um laudo completo traz: identificação da mídia com número de série e fotos do estado físico, descrição do problema relatado pelo cliente, análise técnica do estado inicial com evidências dos erros encontrados, metodologia e ferramentas utilizadas durante o processo, resultados com percentual de recuperação e lista dos arquivos devolvidos, limitações técnicas que impediram recuperação total, causa-raiz do incidente e assinatura do responsável técnico com data. Além disso, esse documento serve como prova jurídica em processos de seguro cibernético, disputas contratuais e notificações à ANPD no contexto da LGPD.

Como funciona o processo da Crowdertech do início ao fim?

O cliente entrega a mídia ou acesso remoto ao ambiente. Em seguida, a Crowdertech aplica diagnóstico forense gratuito, que identifica o tipo de falha e o percentual estimado de recuperação. Depois, apresenta proposta com escopo técnico e prazo. Após aprovação, executa a imagem forense, aplica engenharia reversa ou reconstrução forense conforme o caso e entrega os dados recuperados junto ao laudo técnico. A Crowdertech nunca inicia o processo sem diagnóstico e nunca cobra pela ausência de resultado.


10. Prevenção: como evitar a próxima perda

O que é a regra 3-2-1 de backup e por que ela funciona?

A regra 3-2-1 define três cópias dos dados, em dois meios diferentes, com uma cópia off-site. Por exemplo: dado original no servidor, backup local em HD externo e backup em nuvem em outro datacenter. Dessa forma, um único evento catastrófico — ransomware, incêndio ou inundação — não elimina todas as cópias ao mesmo tempo. Além disso, versões com versionamento protegem contra a criptografia retroativa do ransomware, que apaga versões anteriores dos arquivos.

Quais sinais indicam que um HD mecânico está prestes a falhar?

Os sinais mais confiáveis são: aumento progressivo de setores realocados no SMART (atributo 05), erros de I/O frequentes nos logs do sistema operacional, lentidão extrema ao abrir ou salvar arquivos grandes, ruídos novos como cliques, raspagem ou vibração e o disco que aparece e desaparece na BIOS entre reinicializações. Por isso, monitorar o SMART de todos os discos de produção regularmente com ferramentas como CrystalDiskInfo ou smartmontools permite agir antes da falha catastrófica.

O SMART serve para prever todas as falhas de disco?

Não. O SMART monitora parâmetros elétricos e mecânicos e alerta bem para degradação progressiva. No entanto, falhas súbitas de controladora ou de motor escapam do SMART sem qualquer aviso prévio. Além disso, SSDs têm indicadores SMART diferentes dos HDs e, em muitos modelos, a falha ocorre de forma abrupta sem nenhum sintoma anterior. Portanto, o SMART é uma ferramenta útil de monitoramento, mas não substitui backups regulares e testados.

Qual a melhor estratégia de backup para bancos de dados de produção?

Para ambientes críticos, a combinação mais robusta usa backup completo semanal, backup incremental ou diferencial diário e log shipping ou replicação contínua para capturar cada transação em tempo real. Contudo, testar a restauração periodicamente é tão importante quanto fazer o backup. Um backup nunca testado é apenas um arquivo de tamanho desconhecido, porque só a restauração bem-sucedida comprova que o dado realmente está lá e íntegro.


Conclusão

Este guia definitivo de recuperação de dados demonstra que a perda de dados raramente é irreversível quando o ambiente se preserva e a ação é rápida. Em resumo, as duas regras universais são simples: pare de usar o dispositivo afetado imediatamente e acione especialistas antes de qualquer tentativa própria. Portanto, ao primeiro sinal de falha, preserve tudo e chame quem tem o equipamento e o método correto. A Crowdertech atua em todos os cenários deste guia — HD, SSD, RAID, banco de dados, máquinas virtuais e ransomware — com diagnóstico inicial sem custo.

Veja também:

Fontes: NIST SP 800-86 — Guide to Integrating Forensic Techniques · NIST SP 800-34r1 — Contingency Planning · No More Ransom · CERT.br · SANS Institute — Digital Forensics · Microsoft Docs — SQL Server · ANPD — LGPD.