米国の Cybersecurity and Infrastructure Security Agency (CISA) は、最近広まった ESXiArgs ランサムウェア攻撃によって暗号化された VMware ESXi サーバーを回復するためのスクリプトをリリースしました。
先週の金曜日から、公開された VMware ESXi サーバーが、 広範な ESXiArgs ランサムウェア攻撃の標的になりました。
それ以来、CISA のテクニカル アドバイザーである Jack Cable が収集したビットコイン アドレスのリストによると、攻撃は 2,800 台のサーバーを暗号化しました。
多くのデバイスが暗号化されていましたが、攻撃者は仮想ディスクのデータが保存されているフラット ファイルを暗号化できなかったため、キャンペーンはほとんど成功しませんでした。
このミスにより、YoreGroup Tech Team の Enes Sonmez と Ahmet Aykac は、暗号化されていないフラット ファイルから仮想マシンを再構築する方法を考案することができました。
この方法は、多くの人がサーバーを回復するのに役立ちましたが、一部の人にとってはプロセスが複雑であり、多くの人がESXiArgs サポート トピックで助けを求めています。
リカバリを自動化するためにリリースされたスクリプト
ユーザーがサーバーを回復するのを支援するために、CISA は GitHub でESXiArgs-Recover スクリプトをリリースして、回復プロセスを自動化しました。
「CISA は、一部の組織が身代金を支払わずにファイルの回復に成功したと報告していることを認識しています。CISA は、Enes Sonmez と Ahmet Aykac によるチュートリアルを含む、公開されているリソースに基づいてこのツールをコンパイルしました」と CISA は説明します。
「このツールは、マルウェアによって暗号化されていない仮想ディスクから仮想マシンのメタデータを再構築することによって機能します。」
GitHub プロジェクト ページには VM を回復するために必要な手順が記載されていますが、要約すると、スクリプトは仮想マシンの暗号化されたファイルをクリーンアップし、暗号化されていないフラット ファイルを使用して仮想マシンの .vmdk ファイルを再構築しようとします。
完了したら、成功した場合は、仮想マシンを VMware ESXi に再度登録して、VM に再度アクセスできます。
CISA は、管理者がスクリプトを使用する前にスクリプトを確認して、その仕組みを理解し、起こりうる複雑さを回避することを推奨しています。スクリプトによって問題が発生することはありませんが、回復を試みる前にバックアップを作成することを強くお勧めします。
「CISA は、このようなスクリプトが安全で効果的であることを保証するために取り組んでいますが、このスクリプトは暗黙的または明示的な保証なしで配信されます。」 CISAに警告します。
「システムにどのように影響するかを理解せずに、このスクリプトを使用しないでください。CISA は、このスクリプトによって引き起こされた損害について責任を負いません。」
Comments