• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Новая версия программы-вымогателя ESXiArgs предотвращает любую возможность восстановления данных

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Новые атаки программы-вымогателя ESXiArgs теперь шифруют больше данных, что значительно усложняет, если не делает невозможным, восстановление зашифрованных виртуальных машин VMware ESXi.

3 февраля, в результате масштабной атаки вымогателей было зашифровано более 3000 серверов VMware ESXi. Злоумышленники использовали программу ESXiArgs.

В предварительных отчётах указывалось, что устройства были взломаны с использованием старых уязвимостей VMware SLP. Однако некоторые жертвы заявили, что SLP был отключен на их устройствах, но доступ всё равно был получен, а данные зашифрованы. Вредоносный скрипт шифровал файлы виртуальных машин VMware ESXi со следующими расширениями: vmdk, vmx, vmxf, vmsd, vmsn, vswp, vmss, nvram, vmem.

В атаке 3 февраля, как обнаружили эксперты, механизм шифрования был далёк от идеала. Из-за неоптимально настроенного параметра «size_step», призванного ускорить процесс шифрования, файлы размером до 128 МБ кодировались эффективно, а вот более крупные уже нет. Всё потому, что алгоритм шифрует данные со определённым шагом, который вычисляется из размера самого файла.

Например, файл размером 4,5 ГБ зашифровался бы не полностью. На 1 МБ зашифрованных данных приходилось бы 45 МБ незашифрованных. А для файлов ещё большего размера, например, 450 ГБ, объём пропущенных данных возрастает ещё сильнее. В связи с этим, к концу процесса довольно много данных в файле остаётся незашифрованными, а значит, его возможно восстановить с помощью обратного алгоритма.

Исследователи кибербезопасности из CISA уже разработали метод восстановления виртуальных машин, опирающихся на этот недостаток шифровальщика и опубликовали свой скрипт для всех желающих.

Однако 8 февраля началась вторая волна атак программ-вымогателей ESXiArgs. Новая версия имеет модифицированную процедуру шифрования, которая шифрует гораздо больше данных из-за фиксированного значения «size_step» = 1. То есть вне зависимости от размера файла, ровно половина данных будет зашифрована. Значит восстановить такие файлы, скорее всего, уже не выйдет.

Что ещё более тревожно в новой волне атак, — злоумышленникам удаётся успешно взламывать сервера, на которых отключен SLP. Специалисты пока не могут понять, как это возможно. Вероятно, хакеры нашли какой-то другой способ для компрометации устройств.
Представители CISA рекомендуют опробовать их скрипт для восстановления в любом случае, если данные были зашифрованы ESXiArgs. Однако маловероятно, что скрипт сработает, если при атаке использовалась новая версия шифровальщика.
 
Сверху