CISA lança script de recuperação para vítimas do ransomware ESXiArgs

CISA
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) lançou um script para recuperar servidores VMware ESXi criptografados pelos recentes ataques generalizados de ransomware ESXiArgs.
Compartilhe

A partir da última sexta-feira, os servidores VMware ESXi expostos foram alvo de um ataque generalizado de ransomware ESXiArgs .

Desde então, os ataques criptografaram 2.800 servidores de acordo com uma lista de endereços bitcoin coletados pelo consultor técnico da CISA, Jack Cable.

Embora muitos dispositivos tenham sido criptografados, a campanha não teve sucesso, pois os agentes da ameaça não conseguiram criptografar arquivos simples, onde os dados dos discos virtuais são armazenados.

Esse erro permitiu que Enes Sonmez e Ahmet Aykac, da YoreGroup Tech Team, desenvolvessem um método para reconstruir máquinas virtuais a partir de arquivos simples não criptografados.

Esse método ajudou várias pessoas a recuperar seus servidores, mas o processo foi complicado para alguns, com muitas pessoas pedindo ajuda em nosso tópico de suporte ESXiArgs .

Script lançado para automatizar a recuperação

Para ajudar os usuários a recuperar seus servidores, a CISA lançou um script ESXiArgs-Recover no GitHub para automatizar o processo de recuperação.

“A CISA está ciente de que algumas organizações relataram sucesso na recuperação de arquivos sem pagar resgates. A CISA compilou esta ferramenta com base em recursos disponíveis publicamente, incluindo um tutorial de Enes Sonmez e Ahmet Aykac”, explica a CISA.

“Essa ferramenta funciona reconstruindo os metadados da máquina virtual a partir de discos virtuais que não foram criptografados pelo malware”.

Embora a página do projeto GitHub tenha as etapas necessárias para recuperar VMs, em resumo, o script limpará os arquivos criptografados de uma máquina virtual e tentará reconstruir o arquivo .vmdk da máquina virtual usando o arquivo simples não criptografado.

Quando terminar, se for bem-sucedido, você poderá registrar a máquina virtual novamente no VMware ESXi para obter acesso à VM novamente.

A CISA pede aos administradores que revisem o script antes de usá-lo para entender como ele funciona e evitar possíveis complicações. Embora o script não deva causar nenhum problema, o BleepingComputer recomenda fortemente que os backups sejam criados antes de tentar a recuperação.

“Embora a CISA trabalhe para garantir que scripts como este sejam seguros e eficazes, esse script é fornecido sem garantia, implícita ou explícita.” adverte CISA.

“Não use este script sem entender como isso pode afetar seu sistema. A CISA não assume responsabilidade por danos causados ​​por este script.”