Na madrugada de 15 de maio de 2023, às 1h da manhã, a Crowdertech recebeu uma chamada de emergência de uma empresa de tecnologia e desenvolvimento de Belo Horizonte. O ransomware GaiaTrend havia criptografado um servidor RAID 0 com 15 discos e derrubado todos os bancos de dados SQL Server referentes à aplicação RM TOTVS. A operação inteira estava parada.

O cenário no momento do chamado

O RAID 0 de 15 discos concentrava toda a base de dados da aplicação. Além disso, o ransomware havia eliminado os backups locais antes de criptografar os volumes. Portanto, não havia ponto de restauração disponível. A empresa dependia integralmente da recuperação forense para voltar a operar.

O impacto era imediato e grave: sem acesso ao RM TOTVS, os processos financeiros, de RH e de gestão estavam completamente paralisados.

O que a Crowdertech fez

O servidor chegou ao laboratório na mesma madrugada. Em poucas horas, nossa equipe realizou o diagnóstico e comunicou quais dados seriam possíveis recuperar. Dessa forma, o cliente sabia exatamente o que esperar antes de aprovar o serviço.

Em seguida, aplicamos engenharia reversa ao padrão de criptografia do GaiaTrend. Por isso, identificamos que a cifragem era parcial nos arquivos de dados maiores — o que é comum em ransomware projetado para velocidade de ataque. Portanto, boa parte do conteúdo dos bancos permanecia intacta nos blocos físicos.

Depois, reconstruímos a geometria do RAID 0 em software — identificando a ordem correta dos 15 discos e o tamanho do stripe — e remontamos o volume virtualmente sem tocar nos discos físicos originais. Assim, extraímos os bancos SQL Server e validamos a integridade das tabelas do TOTVS antes da entrega.

O resultado

Os dados foram recuperados de forma parcial com êxito suficiente para a retomada da operação. O cliente não pagou nenhum centavo de resgate. Além disso, todos os prazos foram cumpridos e a comunicação foi mantida em todas as etapas — conforme atestou o CEO da empresa em documento formal.

“Em poucas horas já tivemos um retorno de quais dados seriam possíveis restaurar. A equipe técnica da Crowdertech mostrou vasto conhecimento com matrizes RAID e ambientes com ataques cibernéticos.” — CEO, empresa de tecnologia e desenvolvimento, Belo Horizonte/MG

Por que o RAID 0 torna o ransomware mais destrutivo

O RAID 0 distribui dados entre todos os discos sem redundância. Por isso, quando o ransomware criptografa os volumes, ele afeta cada faixa de dados espalhada entre os 15 discos simultaneamente. Contudo, exatamente por isso o ataque precisa ser rápido — e a pressa do criminoso deixa áreas preservadas que a forense consegue explorar.

Perguntas frequentes

Dá para recuperar SQL Server de um RAID 0 após ransomware? Sim, em muitos casos. A criptografia parcial do ransomware e a estrutura de páginas de 8 KB do SQL Server permitem reconstruir os bancos a partir das áreas preservadas, sem a chave do atacante.

O RAID 0 tem redundância que ajuda na recuperação? Não tem redundância. No entanto, a forense reconstrói a geometria do arranjo em software e acessa os dados sem precisar que o RAID esteja operacional.

Precisa pagar o resgate para recuperar o TOTVS? Não. A Crowdertech não negocia com criminosos. Aplicamos engenharia reversa para recuperar os dados sem depender do atacante.

Conclusão

Este caso demonstra que um ataque de ransomware em RAID 0, mesmo sem redundância e sem backup, não significa perda total. Em resumo, a velocidade do ataque cria brechas que a recuperação forense explora. Sofreu um ataque semelhante? A Crowdertech atua em emergências 24 horas. Veja também recuperação de ransomware em banco de dados.