美国网络安全和基础设施安全局 (CISA) 发布了一个脚本,用于恢复被最近广泛传播的 ESXiArgs 勒索软件攻击加密的 VMware ESXi 服务器。
从上周五开始,暴露的 VMware ESXi 服务器成为广泛的 ESXiArgs 勒索软件攻击的目标。
从那时起,攻击根据 CISA 技术顾问 Jack Cable 收集的比特币地址列表对 2,800 台服务器进行了加密。
虽然许多设备都已加密,但由于威胁行为者未能加密存储虚拟磁盘数据的平面文件,该活动基本上没有成功。
这个错误让 YoreGroup 技术团队的 Enes Sonmez 和 Ahmet Aykac 设计了一种从未加密的平面文件重建虚拟机的方法。
此方法已帮助许多人恢复他们的服务器,但对某些人来说过程很复杂,许多人在我们的 ESXiArgs 支持主题中寻求帮助。
发布脚本以自动恢复
为了帮助用户恢复他们的服务器,CISA 在 GitHub 上发布了一个 ESXiArgs-Recover 脚本来自动执行恢复过程。
“CISA 知道一些组织已报告在不支付赎金的情况下成功恢复了文件。CISA 根据公开资源编译了该工具,包括 Enes Sonmez 和 Ahmet Aykac 的教程,”CISA 解释说。
“此工具的工作原理是从未被恶意软件加密的虚拟磁盘重建虚拟机元数据。”
虽然 GitHub 项目页面包含恢复 VM 所需的步骤,但总而言之,该脚本将清理虚拟机的加密文件,然后尝试使用未加密的平面文件重建虚拟机的 .vmdk 文件。
完成后,如果成功,您可以在 VMware ESXi 中再次注册虚拟机以再次获得对 VM 的访问权限。
CISA 敦促管理员在使用脚本之前先查看脚本,以了解其工作原理并避免可能出现的并发症。 虽然脚本不会导致任何问题,但 OZABC 强烈建议在尝试恢复之前创建备份。
“虽然 CISA 努力确保像这样的脚本安全有效,但此脚本的交付没有任何明示或暗示的保证。” 警告 CISA。
“在不了解此脚本对您的系统有何影响的情况下,请勿使用它。CISA 不对由此脚本造成的损害承担责任。”
如若转载,请注明出处:https://www.ozabc.com/it/534696.html