CISA lança script de recuperação para vítimas do ransomware ESXiArgs

CISA lança script de recuperação para vítimas do ransomware ESXiArgs que criptografa servidores VMware ESXi.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) lançou um script para recuperar servidores VMware ESXi criptografados pelos recentes ataques generalizados de ransomware ESXiArgs.

A partir da última sexta-feira, os servidores VMware ESXi expostos foram alvo de um  ataque generalizado de ransomware ESXiArgs .

Desde então, os ataques criptografaram 2.800 servidores de acordo com uma  lista de endereços bitcoin  coletados pelo consultor técnico da CISA, Jack Cable.

Embora muitos dispositivos tenham sido criptografados, a campanha não teve sucesso, pois os agentes da ameaça não conseguiram criptografar Flat Files onde os dados dos discos virtuais são armazenados.

Esse erro permitiu que Enes Sonmez e Ahmet Aykac, da YoreGroup Tech Team,  desenvolvessem um método  para reconstruir máquinas virtuais a partir dos Flat Files não criptografados.

Esse método ajudou várias pessoas a recuperar seus servidores, mas o processo foi complicado para alguns, com muitas pessoas pedindo ajuda em nosso  tópico de suporte ESXiArgs .

Script lançado para automatizar a recuperação

Para ajudar os usuários a recuperar seus servidores, a CISA lançou um  script ESXiArgs-Recover no GitHub para automatizar o processo de recuperação.

A CISA está ciente de que algumas organizações relataram sucesso na recuperação de arquivos sem pagar resgates. A CISA compilou esta ferramenta com base em recursos disponíveis publicamente, incluindo  um tutorial  de Enes Sonmez e Ahmet Aykac“, explica a CISA.

Essa ferramenta funciona reconstruindo os metadados da máquina virtual a partir de discos virtuais que não foram criptografados pelo malware”.

Embora a página do projeto GitHub tenha as etapas necessárias para recuperar VMs, em resumo, o script limpará os arquivos criptografados de uma máquina virtual e tentará reconstruir o arquivo .vmdk da máquina virtual usando o arquivo simples não criptografado.

Quando terminar, se for bem-sucedido, você poderá registrar a máquina virtual novamente no VMware ESXi para obter acesso à VM novamente.

A CISA pede aos administradores que revisem o script antes de usá-lo para entender como ele funciona e evitar possíveis complicações. Embora o script não deva causar nenhum problema, o BleepingComputer recomenda fortemente que os backups sejam criados antes de tentar a recuperação.

Embora a CISA trabalhe para garantir que scripts como este sejam seguros e eficazes, esse script é fornecido sem garantia, implícita ou explícita.” adverte CISA.

Não use este script sem entender como isso pode afetar seu sistema. A CISA não assume responsabilidade por danos causados ​​por este script.”

Fonte: BleepingComputer

Veja também:

Sobre mindsecblog 2431 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Como tomar decisões sobre gastos com segurança em meio ao cenário recessivo | Minuto da Segurança da Informação

Deixe sua opinião!