Quando os primeiros sinais de instabilidade surgiram no servidor de arquivos da escola, ainda na madrugada de uma sexta-feira, o departamento de TI pensou tratar-se de uma falha trivial na infraestrutura VMware. Minutos depois, porém, as máquinas virtuais começaram a exibir extensões estranhas nos nomes dos arquivos; em poucas horas o campus inteiro estava sem acesso a provas, registros acadêmicos, sistemas de matrícula e até ao controle de ponto dos professores. Tratava-se do ransomware Interlock, que havia encriptado por completo o file server hospedado em ESXi — e, para piorar, também os backups armazenados no mesmo pool de discos.
Sem um plano de resposta a incidentes, os administradores trabalharam sem dormir, tentando identificar o vetor de entrada e salvar ao menos um snapshot íntegro. Foi em meio a essa corrida contra o tempo que a direção acadêmica entrou em contato com a Digital Recovery. O pedido era direto: recuperar o conteúdo essencial das máquinas virtuais. Para viabilizar o projeto, abrimos um canal de comunicação 24×7 — incluindo plantões em fins de semana e reuniões noturnas para alinhar cada avanço com o coordenador de TI e o reitor.
Já nas primeiras análises remotas constatamos que o Interlock havia removido logs e sobregravado as estruturas de backup, tornando inúteis as tentativas tradicionais de restore. Redirecionamos então nossos esforços para técnicas de varredura em nível de bloco, extraindo fragmentos válidos diretamente dos data stores ESXi. A confiança do cliente chegou a balançar quando outras empresas prometeram soluções milagrosas; mantivemos a serenidade, apresentamos comparativos técnicos e demonstramos como nossos algoritmos de rebuilding preservavam metadados de sistema de arquivos que, à primeira vista, pareciam perdidos. Essa transparência foi decisiva para reforçar a parceria.
Ao longo de três semanas, nossa equipe reagrupou volumes VMDK, reconstruindo pastas de cada turma, materiais didáticos e o histórico escolar — dados sem os quais o semestre ficaria comprometido. Cada etapa era validada por hashes de integridade compartilhados em tempo real com o administrador-chefe da escola. Embora o processo ainda esteja em fase de consolidação final, os arquivos críticos já foram devolvidos, permitindo que as aulas seguissem seu calendário normal e que alunos não perdessem prazos de inscrição em universidades.
O caso ilustra a fragilidade de ambientes virtualizados que concentram produção e backup no mesmo conjunto de discos, mas também mostra como um atendimento dedicado e soluções específicas para VMware podem reverter cenários considerados irrecuperáveis. Hoje, a escola revisa sua política de cópias offline e elabora, com nosso suporte consultivo, um verdadeiro plano de resposta a incidentes — determinada a não reviver mais noites em claro por causa de um ransomware.
Em todos os casos de ataques ransomware nós podemos atuar, fale com nossos especialistas.
