CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs
Умельцы из американского Агентства кибербезопасности (CISA) создали скрипт для восстановления виртуальных машин VMware ESXi, зашифрованных вымогателем ESXiArgs. Новый инструмент, помогающий вернуть файлы .vmdk и .vmx, уже доступен на GitHub.
Волна агрессивных атак ESXiArgs накрыла непропатченные серверы ESXi в минувший уикенд. В настоящее время количество заражений превышает 3000.
По словам CISA, выпущенный декриптор создан на основе данных из открытых источников, в том числе руководства, опубликованного участниками турецкой YoreGroup (на «Хабре» есть перевод). Последние установили, что новоявленному зловреду не удается зашифровать плоские файлы с данными виртуального диска (flat.vmdk) и разработали метод восстановления ВМ, использующий ошибку вирусописателей.
Публикация YoreGroup помогла многим форумчанам BleepingComputer, хотя некоторым процесс показался слишком сложным. Декриптор CISA автоматизирует восстановление файлов и способен облегчить задачу тем, кто решил обойтись без выкупа.
Админам настоятельно советуют вначале проверить recover.sh на предмет появления проблем в конкретном окружении — разработчики сняли с себя всю ответственность за последствия использования их детища. Рекомендуется также на всякий случай создать бэкап. После успешной отработки скрипта нужно будет вернуть доступ к виртуальной машине — повторно зарегистрировать ее в VMware ESXi.
Вчера стало известно, что экспертам удалось обезвредить еще одного шифровальщика-новобранца — Cl0p для Linux. К сожалению, такие победы недолговечны: узнав о своем промахе, злоумышленники быстро закрывают лазейку, лишающую их прибыли.
 |
нравится | не нравится |  |
| Рейтинг: | 2 |
Всего голосов: 2 |
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.