Banco de Dados, Ransomware
Se seus arquivos foram encriptados, aceitamos o desafio de analisar seu caso.

O que é MySQL?

O MySQL é um sistema de gerenciamento de banco de dados (SGBD), utilizando a linguagem SQL (Linguagem de Consulta Estruturada) usando-a na interface. Sendo ele um Banco de Dados relacional (RDBMS -Relational Database Management Systems).

O RDBMS funciona com o código aberto, usado no gerenciamento de banco de dados, nos modelos relacionais. É escrito por uma linguagem de programação, porém usa a SQL como primária, o MySQL é escrito em C e C++.

O projeto de criação começou no ano de 1980, criado por David Axmark, Allan Larsson e Michael Widenius. A MySQL AB, desenvolvedora do MySQL, foi comprada pela Sun Microsystems por 1 bilhão de dólares, no dia 16 de janeiro de 2008. Após isso, em abril de 2009, a Sun Microsystems foi comprada pela Oracle, incluindo todos seus produtos, tendo neles o MySQL.

O MySQL é extremamente  útil, com sua interface simples e sua capacidade de rodar em diversos sistemas operacionais. O MySQL tem uma licença livre, conhecido também como programa com o código fonte aberto, dando a possibilidade para o usuário fazer mudanças no software, porém existe uma empresa que gerencia o que pode ser mudado ou não, conhecida como GLP (GNU – Licença Pública Geral), determinando o que é ou não possível de ser alterado.

No MySQL, o usuário pode escolher 3 formatos de tabelas, que são: ISAM, HEAP e MyISAM, também as versões mais atualizadas aceitam as tabelas: InooDB ou BDB. Assim que criar a tabela, deverá escolher qual modelo usar, a mais comum é a MyISAM.

O arquivo MySQL contém a extensão .frm, gerado automaticamente pelo sistema.

Ransomware Ataque

MySQL Encriptado por Ransomware

O ransomware é um malware que visa invadir, encriptar e extrair o máximo de arquivos possíveis, ele age com um sequestrador de dados. Com a encriptação ele bloqueia todos os acessos aos arquivos internos da empresa, paralisando assim, o seu funcionamento causando prejuízos significativos para a empresa.  

Alguns grupos ransomware utilizam a dupla extorsão, que é a encriptação mais o roubo de arquivos sensíveis para empresa, caso o bloqueio não leve a empresa a pagar o resgate pedido pelos criminosos, os arquivos roubados são divulgados na dark web. Grupos que agem dessa forma possuem sites exclusivos para o vazamento dos arquivos.  

Falando diretamente do MySQL, após o ransomware invadi-lo, ele bloqueia o acesso dos administradores, começando assim a encriptação dos arquivos e das tabelas.

Os arquivos gerados pelo MySQL têm a extensão de .frm, após criptografia, o próprio ransomware cria sua extensão, impedindo o acesso aos arquivos e informações.

O ransomware tem suas extensões, sendo elas diferentes, cada ransomware contém a sua, e elas contém regras diferentes umas das outras. Porém, a maioria deles são criados com a mesma criptografia padrão AES e RSA. Sendo impossível trazer os arquivos de volta.

Os hackers pedem um resgate que precisa ser pago em criptomoedas para liberar a chave de descriptografia. Mas, não há garantias concretas de que os dados serão descriptografados após o pagamento. 

O ransomware deixa no sistema uma nota de resgate explicando o que aconteceu e deixando o contato para que a empresa entre em contato para o pagamento do resgate.

Vale lembrar que é necessário ter uma configuração profissional nos dispositivos de segurança. Se você usa um Antivírus, verifique com segurança que ele seja profissional. É aconselhável que tenha um Firewall individual para o servidor que contém o banco de dados MySQL, existe Firewall externo como o Pfsense, bem seguro e configurável para melhorar a segurança do seu banco de dados.

Após ter uma configuração de segurança, é importante realizar backups diariamente dos seus dados. Ainda que o MySQL seja muito seguro, ele pode ser hackeado. Existem configurações que permitem realizar backups automáticos.

Recuperar Banco de Dados MySQL Encriptado por Ransomware

Após ser hackeado, a opção mais segura é procurar uma empresa especializada em recuperação de dados encriptados por ransomware. 

A Digital Recovery é especializada na recuperação de dados, atuamos nessa área há mais de 20 anos. Desenvolvemos as nossas próprias tecnologias, com isso estamos na vanguarda na recuperação de dados encriptados por ransomware. 

Todas as nossas soluções são exclusivas e foram desenvolvidas com base na Lei Geral de Proteção de Dados (LGPD) e disponibilizamos o acordo de confidencialidade (NDA) para que haja plena segurança de ambas as partes. 

Entre em contato conosco, estamos à disposição para recuperar banco de dados MySQL encriptado por ransomware.

FAQ | Recuperação de Ransomware

A cada dia, os ataques ransomware ficam cada vez maiores. Após uma tentativa de ataque bem sucedida, o ransomware mapeia rapidamente os arquivos mais importantes do usuário para iniciar a criptografia. Arquivos Microsoft Office, bancos de dados, PDFs e design estão entre seus principais alvos.

Os ransomware foram desenvolvidos para serem imperceptíveis, podendo assim, desativar todas as defesas do sistema sem serem notados e iniciarem o processo de encriptação dos arquivos. Ainda que o ransomware possa passar despercebido pelo sistema, ele ainda pode ser notado pelo usuário, porque o ransomware usa os recursos do próprio sistema para fazer a encriptação, isso pode deixar o sistema lento. O ransomware também altera as extensões de arquivos. Por isso, fique atento a esses sinais: Sistema com lentidão e extensões sendo acrescentadas aos arquivos.

Para saber mais, fale com nossos especialistas.

Sim, é possível. Você pode reiniciar o computador em modo de segurança o que irá limitar a ação do ransomware pois os recursos do sistema estarão bloqueados. Você também pode desconectar o computador da internet o que pode interromper a conexão dos hackers com o seu sistema, é válido lembrar que existem ransomware que funcionam mesmo sem estarem conectados à internet. Você também pode iniciar o diagnóstico para identificar ameaças com o seu antivírus, a grande maioria dos antivírus possuem essa função. 

Mas, há casos em que a encriptação foi interrompida pelo usuário, alguns arquivos já tinham sido afetados e isso causou um erro na encriptação e, nem os hackers puderam restaurar os arquivos, mesmo com a chave de descriptografia. Nesses casos apenas uma empresa de recuperação de dados, como a Digital Recovery, poderá recuperar os arquivos.

Para saber mais, fale com nossos especialistas.

Sim, os ataques costumam acontecer, principalmente, em feriados e fins de semana, durante a madrugada. Esses dias são escolhidos, pois não há muitos usuários ativos no sistema, o que evita que o ataque seja descoberto antes que a encriptação seja concluída.

Para saber mais, fale com nossos especialistas.

A grande maioria dos ransomware usam a encriptação RSA [Rivest-Shamir-Adleman]-2048 e AES [Advanced Encryption Standard].

Para saber mais, fale com nossos especialistas.

Antes de qualquer coisa, não faça o pagamento do resgate. Não importa o que os hackers falem, não há garantias de que de fato a chave de descriptografia será liberada após o pagamento do resgate. 

A primeira coisa a se fazer, é informar as autoridades sobre o ataque, os governos possuem departamentos especializados em crimes virtuais que irão investigar o ataque. Após isso, verifique se os backups foram atingidos, caso tenham sido afetados apenas uma empresa especializada na recuperação de dados poderá recuperar os seus arquivos, esse é o passo seguinte. Entrem em contato com a Digital Recovery que irá te auxiliar na recuperação completa dos seus arquivos.

Para saber mais, fale com nossos especialistas.

Após o primeiro contato e envio da mídia afetada iremos diagnosticar o dispositivo para verificar a extensão dos danos causados pelo ransomware, com isso podemos projetar a duração do processo, e disponibilizarmos o orçamento para o cliente. Após a aprovação por orçamento por parte do cliente, iniciamos o processo de recuperação, para isso possuímos softwares exclusivos que podem, com ajuda dos nossos especialistas, reconstruir os dados. 

Caso o cliente opte pela recuperação remota, ao invés de nos enviar a mídia, ele enviará os arquivos encriptados para um ambiente virtual, que é totalmente seguro, para que assim possamos acessá-los. 

Após o término do processo nós faremos um double check  para que o cliente possa verificar a integridade dos arquivos recuperados.

O pagamento só é feito após a entrega dos arquivos e a validação do mesmo feito pelo cliente.

Para saber mais, fale com nossos especialistas.

Compartilhar no facebook
Facebook
Compartilhar no twitter
Twitter
Compartilhar no linkedin
LinkedIn
Isaias Sardinha
Isaias Sardinha
Isaias Sardinha, CEO e fundador da Digital Recovery, atua há mais de duas décadas na recuperação de dados perdidos, é perito em disaster recovery e no desenvolvimento de tecnologias para recuperação de dados, como a Tracer, ferramenta capaz de recuperar dados em RAID System, Storage, Máquinas Virtuais, Banco de Dados e Ransomware.
Estamos Sempre Online
Preencha o formulário e nós entraremos em contato com você para iniciar a recuperação de seus dados.
Mas ele foi traspassado pelas nossas transgressões e moído pelas nossas iniquidades; o castigo que nos traz a paz estava sobre ele, e pelas suas pisaduras fomos sarados.