ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), son yaygın Esxiargs fidye yazılımı saldırıları tarafından şifrelenen VMware ESXI sunucularını kurtarmak için bir senaryo yayınladı.
Geçen Cuma gününden itibaren, maruz kalan VMware ESXI sunucuları yaygın bir ESXiArgs fidye yazılımı saldırısına yönelikti.
O zamandan beri, saldırılar CISA Teknik Danışmanı Jack Cable tarafından toplanan Bitcoin adreslerinin bir listesine göre 2.800 sunucuyu şifreledi.
Birçok cihaz şifrelenirken, tehdit aktörleri sanal disklerin verilerinin depolandığı düz dosyaları şifrelemediğinden kampanya büyük ölçüde başarısız oldu.
Bu hata, YoreGroup teknoloji ekibinden Enes Sonmez & Ahmet Aykac'ın, şifrelenmemiş düz dosyalardan sanal makineleri yeniden inşa etmek için bir yöntem tasarlamasına izin verdi.
Bu yöntem çok sayıda insanın sunucularını kurtarmasına yardımcı oldu, ancak süreç bazıları için karmaşıklaştı ve birçok kişi ESXiArgs destek konusumuzda yardım istiyor.
Kullanıcıların sunucularını kurtarmalarına yardımcı olmak için CISA, kurtarma işlemini otomatikleştirmek için GitHub'da bir Esxiargs-Recover komut dosyası yayınladı.
Cisa, "CISA, bazı kuruluşların fidye ödemeden dosyaları kurtarmada başarı bildirdiklerinin farkında. CISA, bu aracı Enes Sonmez ve Ahmet Aykac'ın bir öğreticisi de dahil olmak üzere halka açık kaynaklara dayanarak derledi."
"Bu araç, kötü amaçlı yazılım tarafından şifrelenmemiş sanal disklerden sanal makine meta verilerini yeniden yapılandırarak çalışır."
GitHub proje sayfası VM'leri kurtarmak için ihtiyacınız olan adımlara sahipken, özet olarak, komut dosyası sanal makinenin şifreli dosyalarını temizleyecek ve daha sonra şifrelenmemiş düz dosyayı kullanarak sanal makinenin .vmdk dosyasını yeniden oluşturmaya çalışacaktır.
Bittiğinde, başarılı olursa, VM'ye tekrar erişmek için sanal makineyi VMware ESXI'ye tekrar kaydedebilirsiniz.
Cisa, yöneticileri nasıl çalıştığını anlamak ve olası komplikasyonları önlemek için kullanmadan önce senaryoyu gözden geçirmeye çağırıyor. Komut dosyası herhangi bir soruna neden olmamalı olsa da, BleepingComputer, kurtarma işlemeye başlamadan önce yedeklemelerin oluşturulmasını şiddetle tavsiye eder.
"CISA, bunun gibi komut dosyalarının güvenli ve etkili olmasını sağlamak için çalışırken, bu komut dosyası garanti olmadan, örtük veya açık olarak teslim edilir." Cisa uyarıyor.
"Bu komut dosyasını sisteminizi nasıl etkileyebileceğini anlamadan kullanmayın. CISA, bu senaryodan kaynaklanan hasar için sorumluluk üstlenmez."
Yeni Esxiargs Ransomware sürümü VMware ESXI kurtarmayı önler
Masif Esxiargs Fidye Yazılımı Saldırısı Hedefleri VMware ESXI Sunucuları Dünya Çapında
VMware, ESXI sunucularını Patch, OpenSlp Hizmetini Devre Dışı Bırakma konusunda uyarıyor
Royal Ransomware hedeflerinin Linux sürümü VMware ESXI sunucuları
Ransomware'de Hafta - 3 Şubat 2023 - Bir karmaşa ile bitiyor
Kaynak: Bleeping Computer