News
O script pretende recuperar servidores VMware ESXi encriptados pelos recentes ataques de ransomware ESXiArgs, que encriptaram 2.800 servidores
09/02/2023
A Cybersecurity and Infrastructure Security Agency (CISA) lançou um script para recuperar servidores VMware ESXi encriptados pelos recentes ataques de ransomware ESXiArgs. Em causa está uma campanha de ransomware em grande escala a servidores ESXi expostos, desde a passada sexta-feira, que resultaram na encriptação de 2.800 servidores, de acordo com a agência. Apesar de terem sido encriptados vários dispositivos, a campanha doi em grande parte mal sucedida, uma vez que os cibercriminosos falharem em encriptar ‘flat files’, onde os dados dos discos virtuais são armazenados. É neste contexto que, para ajudar os utilizadores a recuperar os servidores, a CISA lançou o script ESXiArgs-Recover script no GitHub, tendo em vista automatizar o processo de recuperação. “A CISA está ciente de que algumas organizações relataram sucesso na recuperação de ficheiros sem pagar resgates. A CISA compilou esta ferramenta com base em recursos disponíveis ao público, incluindo um tutorial de Enes Sonmez e Ahmet Aykac”, explica a agência. Mais, “esta ferramenta funciona reconstruindo metadados de máquinas virtuais a partir de discos virtuais que não foram encriptados pelo malware”. Enquanto a página do projeto GitHub tem os passos necessários para recuperar as máquinas virtuais, limpando os ficheiros encriptados de uma máquina virtual e, em seguida, tentando reconstruir o ficheiro .vmdk da máquina virtual utilizando o ‘flat file’ não encriptado. Quando bem-sucedido, a máquina virtual pode ser novamente registada no VMware ESXi para voltar a ter acesso à máquina virtual. “Enquanto o CISA trabalha para garantir que scripts como este são seguros e eficazes, este script é entregue sem garantia, implícita ou explícita. Não utilize este script sem perceber como pode afetar o seu sistema. A CISA não assume a responsabilidade pelos danos causados por este guião”, completam. |