近日,美创安全实验室根据勒索病毒威胁情报,发现了一款针对 VMware ESXi 服务器的新型勒索软件(ESXiArgs)正在全球范围内大规模传播。该勒索软件于今年2月开始大规模出现。攻击者利用两年前未经修补的 RCE 漏洞 CVE-2021-21974 将恶意文件传输至 ESXi 导致 OpenSLP 服务中的堆溢出,从而获得交互式访问,借以部署新的 ESXiArgs 勒索病毒。
|
版本 |
数量统计 |
|
ESXi 6.5 |
715 |
|
ESXi 6.7 |
3184 |
|
ESXi 7.0 |
1271 |
|
ESXi 6.0.0 |
665 |
|
|
342 |
ESXiArgs勒索软件在受感染的 ESXi 服务器上使用.vmxf、.vmx、.vmdk、.vmsd 和 .nvram 扩展名加密文件,并为每个包含元数据(可能需要解密)的加密文档创建一个.args文件。
虽然这次攻击背后的威胁行为者声称窃取了数据,但一名受害者在 BleepingComputer 论坛上报告说,他们的事件并非如此。
受害者还在锁定的系统上发现了名为“ransom.html”和“How to Restore Your Files.html”的赎金票据,指示受害者通过 TOX_ID与攻击者取得联系,以恢复加密文件或防止数据被泄露。
1.勒索风险自查
1)检查/store/packages/目录下是否存在vmtools.py后门文件。如果存在,建议立即删除该文件。
2)检查/tmp/目录下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文件,如果存在,应及时删除。
2.勒索处置建议
1)立即隔离受感染的服务器,进行断网
2)使用数据恢复工具恢复数据或重装ESXi
美国CISA发布了 ESXiArgs 勒索软件恢复脚本,相关链接如下:
https://github.com/cisagov/ESXiArgs-Recover3)重复“勒索风险自查”步骤
4)恢复修改后的部分文件
-
查看/usr/lib/vmware目录下的index.html文件是否为勒索信,如果是,立即删除该文件。
-
看/etc/目录下是否存在motd文件,如果存在,立即删除。
3.漏洞加固
在 ESXi 中禁用 OpenSLP 服务,或者升级至 ESXi 7.0 U2c 或 ESXi 8.0 GA,ESXi 7.0 U2c或 ESXi 8.0 GA 版本默认情况下禁用该服务。
4.数据备份
针对重要的数据进行双机备份或云备份。
5.安装美创诺亚防勒索
美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性地研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。
鉴于勒索病毒的无差别广谱特征,诺亚防勒索支持将已知病毒库导入,可先匹配,内置病毒诱捕功能,精确识别勒索病毒的入侵和告警。【诺亚防勒索系统】已支持查杀拦截此次事件使用的ESXiArgs 勒索软件。
-
文档防勒索
针对员工PC、服务器的文档进行防护,如:核心机密文档、日常办公文档、高价值文件、各类隐私文档。
-
数据库防勒索
针对Oracle、Sql Server、Mysql、DB2、DM、人大金仓、达梦、优炫等主流数据库、国产数据库,指定数据库类型或添加数据库可执行程序,允许只有数据库本身才能对数据文件进行修改等操作。
-
哑终端防勒索
针对广泛使用哑终端的关键性行业,如银行的ATM机、加油站自助机、医院自助查询机等。在堡垒模式下,任何新的软件都无法运行,勒索软件运行失败,从而无法破坏文件。
原文始发于微信公众号(第59号):【预警】以全球 VMware ESXi 服务器为目标的ESXiArgs 勒索软件已到达战场!!!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论