Em 23 de fevereiro de 2022, uma agência de comunicação e marketing de São Paulo sofreu um ataque de ransomware DeadBolt que criptografou um servidor RAID 6 com 10 discos e eliminou o acesso direto a todos os dados. No dia seguinte, a empresa levou o servidor à Crowdertech para análise — e em poucas horas já tinha uma resposta sobre o que seria possível recuperar.

O desafio técnico

O RAID 6 usa dupla paridade, o que normalmente oferece alta tolerância a falhas. No entanto, o ransomware não ataca discos físicos — ele ataca os dados no nível lógico, depois que o volume já está montado. Portanto, a dupla paridade do RAID 6 não impede a criptografia dos arquivos.

Além disso, o DeadBolt é uma família conhecida por atacar NAS e storages de alta capacidade. Por isso, o volume total de dados afetados era grande e a análise exigia mapeamento detalhado das áreas preservadas em cada um dos 10 discos.

A abordagem da Crowdertech

Bruno Ribeiro, especialista técnico responsável pelo caso, iniciou pela imagem forense de cada disco individualmente. Dessa forma, os originais permaneceram intactos durante toda a análise. Em seguida, reconstruiu a geometria do RAID 6 — incluindo a rotação de paridade específica do controlador — e montou o volume virtualmente.

Depois, analisou o padrão de criptografia do DeadBolt e identificou os blocos que permaneceram em claro. Assim, extraiu os dados preservados e os reorganizou em estrutura utilizável para o cliente.

O resultado

Os dados foram recuperados de forma parcial com êxito. O cliente voltou a operar sem ter pago nenhum valor de resgate. Além disso, a comunicação durante todo o processo recebeu avaliação máxima — conforme atestou o responsável pelo envio da empresa em documento formal assinado.

“Em poucas horas já tivemos um retorno através do Bruno Ribeiro que seria possível efetuar a recuperação dos dados. A equipe técnica mostrou vasto conhecimento com matrizes RAID e ambientes com ataques cibernéticos.” — Responsável técnico, agência de comunicação e marketing, São Paulo/SP

O que aprendemos sobre o DeadBolt neste caso

O DeadBolt costuma criptografar os primeiros blocos de cada arquivo para garantir velocidade. Por isso, arquivos muito grandes — como bancos de dados e arquivos de projeto de alta resolução — frequentemente têm a maior parte do conteúdo preservada. Portanto, a forense consegue extrair o essencial mesmo sem a chave do atacante.

Perguntas frequentes

RAID 6 protege contra ransomware? Não. O RAID 6 protege contra falha de disco físico, não contra criptografia de dados. O ransomware atua no nível lógico, depois que o volume está montado, e afeta todos os discos igualmente.

O DeadBolt tem decryptor público disponível? Para algumas versões, sim. O projeto No More Ransom disponibiliza ferramentas para variantes antigas. Contudo, quando não há decryptor, a forense extrai os dados das áreas preservadas.

Quanto tempo leva a recuperação de RAID 6 após ransomware? Depende do volume de dados e da extensão da criptografia. Neste caso, o diagnóstico foi entregue em poucas horas após a chegada do servidor.

Conclusão

O ataque de ransomware DeadBolt em um RAID 6 de 10 discos foi revertido sem pagar resgate e sem negociar com os criminosos. Em resumo, a criptografia parcial e a forense de blocos abriram o caminho. Sofreu um ataque por DeadBolt ou outra família? A Crowdertech atua em recuperação de ransomware em storages e servidores. Veja também ransomware em ambiente virtualizado.