हजारों पुराने, बिना पैच वाले VMare ESXi सर्वरों पर गंभीर साइबर हमलों के दौरान, कई वर्चुअल मशीनें ESXiArgs रैंसमवेयर से संक्रमित और एन्क्रिप्ट की गई थीं। ESXiArgs-Recover एक CISA टूल है जो पहले से ही कुछ मामलों में डेटा रिकवर करने में सक्षम है।
सीआईएसए को पता है कि कुछ कंपनियों ने फिरौती का भुगतान किए बिना सफल फाइल रिकवरी की सूचना दी है। CISA ने सार्वजनिक रूप से उपलब्ध संसाधनों के आधार पर इस टूल को संकलित किया है, जिसमें Enes Sonmez और Ahmet Aykac का एक ट्यूटोरियल भी शामिल है। यह टूल वर्चुअल मशीन मेटाडेटा को वर्चुअल डिस्क से फिर से बनाता है जो मैलवेयर द्वारा एन्क्रिप्ट नहीं किया गया था.
वर्तमान में हमले के बारे में VMware यही कहता है
VMware ने पिछले कुछ दिनों की टिप्पणियों पर टिप्पणी की है। कंपनी नोट करती है कि, वर्तमान ज्ञान के अनुसार, हमलों के लिए केवल लंबे समय से ज्ञात कमजोरियों का उपयोग किया जाता है। हालाँकि, अधिक विस्तृत विनिर्देश नहीं बनाया गया था। इस संबंध में, इस बात से इंकार नहीं किया जा सकता है कि CVE-2021-21974 के अलावा, पहले से ही पैच की जा चुकी अन्य सुरक्षा कमियों का भी उपयोग किया जाएगा।
जबकि वर्तमान में कई संकेत हैं कि जो सिस्टम पहले से संक्रमित हो चुके हैं उन्हें अब त्रुटि-मुक्त एन्क्रिप्शन के कारण बहाल नहीं किया जा सकता है, यह संभव हो सकता है कि स्क्रिप्ट के आधार पर अलग-अलग मामलों को साफ किया जा सके।
बीएसआई के मुताबिक: जर्मनी में टारगेट पर हमले की पुष्टि जरूर हो गई है। इस सप्ताह, कई जर्मन संस्थानों ने अपने सर्वर पर हमले के बाद बीएसआई को सूचना दी। इसी समय, जर्मनी में बीएसआई के मुताबिक संभावित कमजोर लक्ष्यों की संख्या में कमी आई है। यह इंगित करता है कि इन प्रणालियों को इस बीच पैच कर दिया गया है या इंटरनेट से उनकी पहुंच प्रतिबंधित कर दी गई है।
ESXiArgs रिकवरी टूल
जैसा कि बीएसआई की रिपोर्ट है, सीआईएसए ने एक स्क्रिप्ट प्रकाशित की है, जो कुछ मामलों में, ESXiArgs हमलों के हिस्से के रूप में एन्क्रिप्ट किए गए सिस्टम को पुनर्स्थापित कर सकती है। उपकरण विभिन्न स्रोतों के निष्कर्षों पर आधारित है। ESXiArgs-Recover एक उपकरण है जिसका उपयोग कंपनियां ESXiArgs रैंसमवेयर हमलों से प्रभावित वर्चुअल मशीनों को पुनर्प्राप्त करने के प्रयास में कर सकती हैं।
इस संबंध में पुष्टि की है फ्रेंच सीईआरटी (सीईआरटी-एफआर)पुनर्प्राप्ति का एक मौका है, विशेष रूप से यदि केवल कॉन्फ़िगरेशन फ़ाइलें (.vmdk) एन्क्रिप्ट की गई हैं और .args एक्सटेंशन के साथ उनका नाम बदल दिया गया है। कई सफलतापूर्वक परीक्षण की गई प्रक्रियाओं को प्रलेखित किया गया है.
GitHub.com पर ESXiArgs रिकवरी टूल पर जाएं