Durante os graves ataques cibernéticos em milhares de servidores VMare ESXi mais antigos e sem patches, muitas máquinas virtuais foram infectadas e criptografadas com o ransomware ESXiArgs. ESXiArgs-Recover é uma ferramenta CISA que já conseguiu recuperar dados em alguns casos.
A CISA está ciente de que algumas empresas relataram recuperação bem-sucedida de arquivos sem pagar resgate. A CISA compilou esta ferramenta com base em recursos disponíveis publicamente, incluindo um tutorial de Enes Sonmez e Ahmet Aykac. Esta ferramenta reconstrói os metadados da máquina virtual a partir de discos virtuais que não foram criptografados pelo malware.
Isto é o que a VMware diz atualmente sobre o ataque
A VMware se pronunciou sobre as observações dos últimos dias, destacando que, de acordo com o conhecimento atual, apenas vulnerabilidades conhecidas há muito tempo são usadas para os ataques. No entanto, uma especificação mais detalhada não foi feita. Nesse sentido, não se pode descartar que, além do CVE-2021-21974, também sejam utilizadas outras falhas de segurança já corrigidas.
Embora atualmente existam muitas indicações de que os sistemas que já foram infectados não podem mais ser restaurados devido à criptografia sem erros, pode ter sido possível limpar casos isolados com base no script.
De acordo com o BSI: Os ataques a alvos na Alemanha foram definitivamente confirmados. Esta semana, várias instituições alemãs relataram ao BSI após ataques a seus servidores. Ao mesmo tempo, o número de alvos potencialmente vulneráveis diminuiu de acordo com o BSI na Alemanha. Isso indica que esses sistemas foram corrigidos nesse meio tempo ou que seu acesso pela Internet foi restrito.
Ferramenta de recuperação ESXiArgs
Como relata o BSI, a CISA publicou um script que pode, em alguns casos, restaurar sistemas que foram criptografados como parte dos ataques ESXiArgs. A ferramenta é baseada nas descobertas de várias fontes. ESXiArgs-Recover é uma ferramenta que as empresas podem usar para tentar recuperar máquinas virtuais afetadas pelos ataques de ransomware ESXiArgs.
A este respeito confirmou o CERT francês (CERT-FR)que há uma chance de recuperação, especialmente se apenas os arquivos de configuração (.vmdk) tiverem sido criptografados e renomeados com a extensão .args. Vários procedimentos testados com sucesso são documentados.
Acesse a ferramenta de recuperação ESXiArgs em GitHub.com