🇫🇷 Dafotec France · Laboratoire salle blanche ISO 5 à Roubaix depuis 2004FR·EN · 🇧🇪 Version Belgique · 09 83 70 00 00
Dafotec FranceRécupération de données09 83 70 00 00
Étude de cas · NAS Synology — ransomware

Un NAS chiffré, 24 To et zéro rançon

PME e-commerce à Lille, lundi matin : tous les fichiers du NAS ont une extension inconnue et une note de rançon. Le ransomware eCh0raix a frappé le DS920+. Pourtant, sept jours plus tard, l'activité a repris — sans verser un centime aux attaquants.

SupportSynology DS920+
Récupéré24 To
Délai7 jours
Rançon payée0 €

Le contexte

Une PME de e-commerce lilloise centralise sur un NAS Synology DS920+ (4 disques de 8 To en SHR, soit 24 To utiles) ses fiches produits, visuels, factures et bases clients. Un lundi matin, plus rien n'est lisible : chaque fichier porte une extension étrangère, et une note réclame un paiement en cryptomonnaie. Diagnostic : eCh0raix, un ransomware ciblant spécifiquement les NAS QNAP et Synology.

Le réflexe de l'équipe IT a été le bon : débrancher immédiatement le NAS du réseau et ne rien tenter. C'est ce qui a tout changé.

Ce qu'il ne faut jamais faire. Payer la rançon (rien ne garantit la clé), supprimer les fichiers chiffrés, recréer le volume, ou laisser le NAS connecté. Et surtout : ne pas supprimer les snapshots — c'est précisément là que se cache le salut.

L'intervention

Le NAS nous est confié en urgence entreprise. La règle d'or s'applique : on ne travaille jamais dans le boîtier d'origine. Étapes :

  • Extraction des 4 disques et clonage secteur par secteur, derrière bloqueur d'écriture, sur banc dédié.
  • Reconstruction du volume SHR (pile mdadm + LVM) hors du boîtier, à partir des images.
  • Analyse du système de fichiers Btrfs et inventaire des snapshots : eCh0raix avait chiffré les fichiers visibles mais ignoré les instantanés en lecture seule antérieurs à l'attaque.
  • Montage du snapshot daté de la veille de l'intrusion et extraction de l'état sain : fiches produits, visuels, comptabilité, bases clients.

Le traitement s'est fait sur réseau isolé (air gap), pour écarter tout risque de propagation pendant l'analyse.

Le résultat

En sept jours, l'intégralité des 24 To a été restaurée dans son état de la veille de l'attaque — soit une perte de données quasi nulle. Les fichiers ont été restitués sur une baie neuve chiffrée, après validation de la liste VeriFiles. Aucune rançon n'a été versée. L'entreprise a repris son activité, et nous lui avons recommandé une stratégie 3-2-1-1-0 avec copie hors ligne pour que la prochaine attaque ne soit qu'un non-événement.

La leçon. Face à un ransomware, la première richesse n'est pas la clé de déchiffrement : ce sont les snapshots. Activés et préservés, ils transforment une catastrophe en simple retour en arrière. Encore faut-il ne pas les détruire en paniquant.
Aller plus loin

Comprendre & agir.

La prestation

Récupération NAS

Synology, QNAP, SHR/Btrfs/ZFS, restauration post-ransomware via snapshots. Urgence entreprise, paiement au résultat.

Voir la prestation →
Le Manuel — Prévention

La règle 3-2-1-1-0

L'air gap, rempart anti-ransomware : pourquoi une copie hors ligne aurait évité toute cette aventure.

Lire le chapitre →
Ressources liées
Toutes les études Manuel — Cas spéciaux RAID & serveurs Glossaire
NAS chiffré ? Ne payez pas

Une attaque en cours ? Débranchez, appelez.

Coupez le NAS du réseau, ne supprimez aucun snapshot, et confiez-le-nous. Souvent, vos données sont restaurables sans rançon. Diagnostic gratuit sous 24 h.

Prise en charge prioritaire 09 83 70 00 00
Diagnostic gratuitUrgence 24h