CISA lança script de recuperação para vítimas do ransomware ESXiArgs

CISA lança script de recuperação para vítimas do ransomware ESXiArgs que criptografa servidores VMware ESXi.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) lançou um script para recuperar servidores VMware ESXi criptografados pelos recentes ataques generalizados de ransomware ESXiArgs.

A partir da última sexta-feira, os servidores VMware ESXi expostos foram alvo de um  ataque generalizado de ransomware ESXiArgs .

Desde então, os ataques criptografaram 2.800 servidores de acordo com uma  lista de endereços bitcoin  coletados pelo consultor técnico da CISA, Jack Cable.

Embora muitos dispositivos tenham sido criptografados, a campanha não teve sucesso, pois os agentes da ameaça não conseguiram criptografar Flat Files onde os dados dos discos virtuais são armazenados.

Esse erro permitiu que Enes Sonmez e Ahmet Aykac, da YoreGroup Tech Team,  desenvolvessem um método  para reconstruir máquinas virtuais a partir dos Flat Files não criptografados.

Esse método ajudou várias pessoas a recuperar seus servidores, mas o processo foi complicado para alguns, com muitas pessoas pedindo ajuda em nosso  tópico de suporte ESXiArgs .

Script lançado para automatizar a recuperação

Para ajudar os usuários a recuperar seus servidores, a CISA lançou um  script ESXiArgs-Recover no GitHub para automatizar o processo de recuperação.

“A CISA está ciente de que algumas organizações relataram sucesso na recuperação de arquivos sem pagar resgates. A CISA compilou esta ferramenta com base em recursos disponíveis publicamente, incluindo  um tutorial  de Enes Sonmez e Ahmet Aykac“, explica a CISA.

“Essa ferramenta funciona reconstruindo os metadados da máquina virtual a partir de discos virtuais que não foram criptografados pelo malware”.

Embora a página do projeto GitHub tenha as etapas necessárias para recuperar VMs, em resumo, o script limpará os arquivos criptografados de uma máquina virtual e tentará reconstruir o arquivo .vmdk da máquina virtual usando o arquivo simples não criptografado.

Quando terminar, se for bem-sucedido, você poderá registrar a máquina virtual novamente no VMware ESXi para obter acesso à VM novamente.

A CISA pede aos administradores que revisem o script antes de usá-lo para entender como ele funciona e evitar possíveis complicações. Embora o script não deva causar nenhum problema, o BleepingComputer recomenda fortemente que os backups sejam criados antes de tentar a recuperação.

“Embora a CISA trabalhe para garantir que scripts como este sejam seguros e eficazes, esse script é fornecido sem garantia, implícita ou explícita.” adverte CISA.

“Não use este script sem entender como isso pode afetar seu sistema. A CISA não assume responsabilidade por danos causados ​​por este script.”

Fonte: BleepingComputer

Veja também:

• Background Check para contratação diminui turnover nas empresas
• Entenda o que é herança digital e como a doutrina jurídica trata do assunto
• Profissionais de cibersegurança seguem na mira das empresas
• CTIR GOV ALERTA 01/2023 Atualizações do VMware ESXi
• Itália, França e outros países estão sobre forte ataque hacker
• O site que quer que você se mate
• Microsoft pede que administradores apliquem do Exchange patchs urgente
• Como a LGPD pode influenciar os sistemas de videomonitoramento
• Cisco corrige bug que permite persistência de backdoor entre reinicializações
• Novo Ransomware Nevada tem como alvo os sistemas Windows e VMware ESXi
• Interrupção massiva do Microsoft 365
• 10 violações de dados que são o pesadelo dos CISOs