Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành một tập lệnh để khôi phục các máy chủ VMware ESXi bị mã hóa bởi các cuộc tấn công ransomware ESXiArgs phổ biến gần đây.
Bắt đầu từ thứ Sáu tuần trước, các máy chủ VMware ESXi bị lộ là mục tiêu trong một cuộc tấn công ransomware ESXiArgs trên diện rộng .
Kể từ đó, các cuộc tấn công đã mã hóa 2.800 máy chủ theo danh sách địa chỉ bitcoin do cố vấn kỹ thuật CISA Jack Cable thu thập.
Mặc dù nhiều thiết bị đã được mã hóa, nhưng chiến dịch phần lớn không thành công do các tác nhân đe dọa không mã hóa được các tệp phẳng, nơi lưu trữ dữ liệu cho các đĩa ảo.
Sai lầm này đã cho phép Enes Sonmez & Ahmet Aykac của Nhóm công nghệ YoreGroup nghĩ ra phương pháp xây dựng lại các máy ảo từ các tệp phẳng không được mã hóa.
Phương pháp này đã giúp nhiều người khôi phục máy chủ của họ, nhưng quá trình này phức tạp đối với một số người, với nhiều người yêu cầu trợ giúp trong chủ đề hỗ trợ ESXiArgs của chúng tôi .
Để hỗ trợ người dùng khôi phục máy chủ của họ, CISA đã phát hành tập lệnh ESXiArgs-Recover trên GitHub để tự động hóa quá trình khôi phục.
"CISA biết rằng một số tổ chức đã báo cáo thành công trong việc khôi phục tệp mà không phải trả tiền chuộc. CISA đã biên soạn công cụ này dựa trên các tài nguyên có sẵn công khai, bao gồm hướng dẫn của Enes Sonmez và Ahmet Aykac," CISA giải thích.
"Công cụ này hoạt động bằng cách xây dựng lại siêu dữ liệu máy ảo từ các đĩa ảo không được mã hóa bởi phần mềm độc hại."
Mặc dù trang dự án GitHub có các bước bạn cần để khôi phục máy ảo, nhưng tóm lại, tập lệnh sẽ dọn sạch các tệp được mã hóa của máy ảo và sau đó cố gắng xây dựng lại tệp .vmdk của máy ảo bằng tệp phẳng không được mã hóa.
Khi hoàn tất, nếu thành công, bạn có thể đăng ký lại máy ảo trong VMware ESXi để có quyền truy cập lại vào máy ảo.
CISA kêu gọi quản trị viên xem lại tập lệnh trước khi sử dụng để hiểu cách thức hoạt động của tập lệnh và tránh những rắc rối có thể xảy ra. Mặc dù tập lệnh không gây ra bất kỳ sự cố nào, nhưng BleepingComputer khuyên bạn nên tạo bản sao lưu trước khi thử khôi phục.
"Mặc dù CISA làm việc để đảm bảo rằng các tập lệnh như thế này an toàn và hiệu quả, nhưng tập lệnh này được phân phối mà không có bảo hành, dù là ngầm định hay rõ ràng." cảnh báo CISA.
"Không sử dụng tập lệnh này mà không hiểu nó có thể ảnh hưởng đến hệ thống của bạn như thế nào. CISA không chịu trách nhiệm pháp lý đối với thiệt hại do tập lệnh này gây ra."
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.