Em 23 de fevereiro de 2022, uma agência de comunicação e marketing de São Paulo sofreu um ataque de ransomware DeadBolt que criptografou um servidor RAID 6 com 10 discos e eliminou o acesso direto a todos os dados. No dia seguinte, a empresa levou o servidor à Crowdertech para análise — e em poucas horas já tinha uma resposta sobre o que seria possível recuperar.
O desafio técnico
O RAID 6 usa dupla paridade, o que normalmente oferece alta tolerância a falhas. No entanto, o ransomware não ataca discos físicos — ele ataca os dados no nível lógico, depois que o volume já está montado. Portanto, a dupla paridade do RAID 6 não impede a criptografia dos arquivos.
Além disso, o DeadBolt é uma família conhecida por atacar NAS e storages de alta capacidade. Por isso, o volume total de dados afetados era grande e a análise exigia mapeamento detalhado das áreas preservadas em cada um dos 10 discos.
A abordagem da Crowdertech
Bruno Ribeiro, especialista técnico responsável pelo caso, iniciou pela imagem forense de cada disco individualmente. Dessa forma, os originais permaneceram intactos durante toda a análise. Em seguida, reconstruiu a geometria do RAID 6 — incluindo a rotação de paridade específica do controlador — e montou o volume virtualmente.
Depois, analisou o padrão de criptografia do DeadBolt e identificou os blocos que permaneceram em claro. Assim, extraiu os dados preservados e os reorganizou em estrutura utilizável para o cliente.
O resultado
Os dados foram recuperados de forma parcial com êxito. O cliente voltou a operar sem ter pago nenhum valor de resgate. Além disso, a comunicação durante todo o processo recebeu avaliação máxima — conforme atestou o responsável pelo envio da empresa em documento formal assinado.
“Em poucas horas já tivemos um retorno através do Bruno Ribeiro que seria possível efetuar a recuperação dos dados. A equipe técnica mostrou vasto conhecimento com matrizes RAID e ambientes com ataques cibernéticos.” — Responsável técnico, agência de comunicação e marketing, São Paulo/SP
O que aprendemos sobre o DeadBolt neste caso
O DeadBolt costuma criptografar os primeiros blocos de cada arquivo para garantir velocidade. Por isso, arquivos muito grandes — como bancos de dados e arquivos de projeto de alta resolução — frequentemente têm a maior parte do conteúdo preservada. Portanto, a forense consegue extrair o essencial mesmo sem a chave do atacante.
Perguntas frequentes
RAID 6 protege contra ransomware? Não. O RAID 6 protege contra falha de disco físico, não contra criptografia de dados. O ransomware atua no nível lógico, depois que o volume está montado, e afeta todos os discos igualmente.
O DeadBolt tem decryptor público disponível? Para algumas versões, sim. O projeto No More Ransom disponibiliza ferramentas para variantes antigas. Contudo, quando não há decryptor, a forense extrai os dados das áreas preservadas.
Quanto tempo leva a recuperação de RAID 6 após ransomware? Depende do volume de dados e da extensão da criptografia. Neste caso, o diagnóstico foi entregue em poucas horas após a chegada do servidor.
Conclusão
O ataque de ransomware DeadBolt em um RAID 6 de 10 discos foi revertido sem pagar resgate e sem negociar com os criminosos. Em resumo, a criptografia parcial e a forense de blocos abriram o caminho. Sofreu um ataque por DeadBolt ou outra família? A Crowdertech atua em recuperação de ransomware em storages e servidores. Veja também ransomware em ambiente virtualizado.