CISA 建議受ESXiArgs影響的組織評估隨附的README文件中提供的腳本和指南
美國網路安全暨基礎安全局 (CISA) 於今天發布了一個腳本,用於恢復被最近廣泛傳播的 ESXiArgs 勒索軟體攻擊中被加密的 VMware ESXi伺服器。從上週五(2/3)開始,暴露在網路的 VMware ESXi伺服器成為大規模ESXiArgs 勒索攻擊的目標。從那時起,根據 CISA 技術顧問Jack Cable 收集到對2,800 台受害伺服器的比特幣地址清單,發現雖然許多設備都已加密,但由於攻擊者未能加密存儲虛擬硬碟數據的平坦檔(Flat File),這個瑕疵讓 YoreGroup 技術團隊的 Enes Sonmez 和 Ahmet Aykac 設計了一種可以在從未被加密的平坦檔重建虛擬機的方法。
據悉,這種方法已成功幫助受害者恢復他們的伺服器,CISA表示對於某受害者些來說,這個恢復過程很複雜,因此為了幫助受害用戶恢復他們的伺服器,CISA發布在 GitHub 上發布了一個 ESXiArgs復原腳本以自動化恢復過程,點擊此處以獲得自動化復原腳本。
CISA 進一步說解釋說,我們知道一些組織已報告在不支付贖金的情況下成功復原了檔案。CISA根據公開可用的資源包括 Enes Sonmez 和 Ahmet Aykac設計的教程,編譯了這個工具(ESXiArgs recover script),該工具的工作原理是從未被惡意軟體加密的虛擬硬碟中重建虛擬機元數據。GitHub 項目頁面包含恢復 VM 所需的步驟,總而言之,該腳本將清理虛擬機的加密檔案,然後嘗試使用未加密的平坦檔重建虛擬機的 .vmdk 檔案。成功完成後,您將可以在 VMware ESXi 中再次註冊虛擬機以再次獲得對 VM 的存取權限。
CISA 建議受 ESXiArgs 受影響的組織評估隨附的 README 文件中提供的腳本和指南,以確認組織是否適合嘗試恢復對其環境中檔案的存取。雖然 CISA 致力於確保像這樣的腳本有效安全性,但該腳本的沒有任何明示或暗示的絕對保證。
“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”