Під час серйозних кібератак на тисячі старих серверів VMare ESXi без виправлень багато віртуальних машин було заражено та зашифровано програмним забезпеченням-вимагачем ESXiArgs. ESXiArgs-Recover — це інструмент CISA, який у деяких випадках уже міг відновити дані.
CISA відомо, що деякі компанії повідомили про успішне відновлення файлів без виплати викупу. CISA зібрав цей інструмент на основі загальнодоступних ресурсів, включаючи підручник Енеса Сонмеза та Ахмета Айкача. Цей інструмент реконструює метадані віртуальної машини з віртуальних дисків, які не були зашифровані зловмисним програмним забезпеченням.
Це те, що VMware зараз говорить про атаку
VMware прокоментувала спостереження за останні кілька днів.Компанія зазначає, що, згідно з поточними даними, для атак використовуються лише давно відомі вразливості. Однак більш детальної специфікації зроблено не було. У цьому відношенні не можна виключати, що окрім CVE-2021-21974 також будуть використані інші прогалини безпеки, які вже виправлено.
Хоча наразі є багато ознак того, що системи, які вже були заражені, більше не можна відновити через безпомилкове шифрування, можливо, було можливо очистити окремі випадки на основі сценарію.
За даними BSI: Атаки на цілі в Німеччині точно підтверджені. Цього тижня кілька німецьких установ повідомили BSI про атаки на їхні сервери. У той же час кількість потенційно вразливих цілей зменшилася за даними BSI в Німеччині. Це вказує на те, що ці системи тим часом були виправлені або що їх доступ з Інтернету був обмежений.
Інструмент відновлення ESXiArgs
Як повідомляє BSI, CISA опублікувала сценарій, який може в деяких випадках відновлювати системи, які були зашифровані в рамках атак ESXiArgs. Інструмент базується на висновках різних джерел. ESXiArgs-Recover — це інструмент, за допомогою якого компанії можуть спробувати відновити віртуальні машини, уражені атаками програм-вимагачів ESXiArgs.
У зв'язку з цим підтверджено французький CERT (CERT-FR)що є ймовірність відновлення, особливо якщо лише конфігураційні файли (.vmdk) були зашифровані та перейменовані з розширенням .args. Задокументовано декілька успішно випробуваних процедур.
Перейдіть до інструменту відновлення ESXiArgs на GitHub.com