A partir da última sexta-feira, os servidores VMware ESXi expostos foram alvo de um ataque generalizado de ransomware ESXiArgs .
Desde então, os ataques criptografaram 2.800 servidores de acordo com uma lista de endereços bitcoin coletados pelo consultor técnico da CISA, Jack Cable.
Embora muitos dispositivos tenham sido criptografados, a campanha não teve sucesso, pois os agentes da ameaça não conseguiram criptografar arquivos simples, onde os dados dos discos virtuais são armazenados.
Esse erro permitiu que Enes Sonmez e Ahmet Aykac, da YoreGroup Tech Team, desenvolvessem um método para reconstruir máquinas virtuais a partir de arquivos simples não criptografados.
Esse método ajudou várias pessoas a recuperar seus servidores, mas o processo foi complicado para alguns, com muitas pessoas pedindo ajuda em nosso tópico de suporte ESXiArgs .
Script lançado para automatizar a recuperação
Para ajudar os usuários a recuperar seus servidores, a CISA lançou um script ESXiArgs-Recover no GitHub para automatizar o processo de recuperação.
“A CISA está ciente de que algumas organizações relataram sucesso na recuperação de arquivos sem pagar resgates. A CISA compilou esta ferramenta com base em recursos disponíveis publicamente, incluindo um tutorial de Enes Sonmez e Ahmet Aykac”, explica a CISA.
“Essa ferramenta funciona reconstruindo os metadados da máquina virtual a partir de discos virtuais que não foram criptografados pelo malware”.
Embora a página do projeto GitHub tenha as etapas necessárias para recuperar VMs, em resumo, o script limpará os arquivos criptografados de uma máquina virtual e tentará reconstruir o arquivo .vmdk da máquina virtual usando o arquivo simples não criptografado.
Quando terminar, se for bem-sucedido, você poderá registrar a máquina virtual novamente no VMware ESXi para obter acesso à VM novamente.
A CISA pede aos administradores que revisem o script antes de usá-lo para entender como ele funciona e evitar possíveis complicações. Embora o script não deva causar nenhum problema, o BleepingComputer recomenda fortemente que os backups sejam criados antes de tentar a recuperação.
“Embora a CISA trabalhe para garantir que scripts como este sejam seguros e eficazes, esse script é fornecido sem garantia, implícita ou explícita.” adverte CISA.
“Não use este script sem entender como isso pode afetar seu sistema. A CISA não assume responsabilidade por danos causados por este script.”
12 thoughts on “CISA lança script de recuperação para vítimas do ransomware ESXiArgs”
Comments are closed.