Posted in Security Advisory

ESXiArgs Ransomware -¡La herramienta de recuperación ya está disponible!

   8 febrero 2023

CISA ha desarrollado ESXiArgs-Recover, una herramienta destinada a ayudar a las organizaciones en sus intentos de recuperar máquinas virtuales afectadas por ataques de ransomware ESXiArgs. Algunas organizaciones han informado de la recuperación con éxito de archivos sin tener que pagar un rescate.

La herramienta se ha creado utilizando recursos disponibles públicamente, incluido un tutorial de Enes Sonmez y Ahmet Aykac. Funciona reconstruyendo metadatos de máquinas virtuales a partir de discos virtuales que no fueron cifrados por el malware.

Descargo de responsabilidad:

El script ESXiArgs de CISA se basa en los hallazgos publicados por los investigadores de terceros mencionados anteriormente. Cualquier organización que desee utilizar el script de recuperación ESXiArgs de CISA debe revisar cuidadosamente el script para determinar si es apropiado para su entorno antes de implementarlo. Este script no busca eliminar los archivos de configuración cifrados, sino crear nuevos archivos de configuración que permitan el acceso a las máquinas virtuales. Aunque CISA trabaja para asegurar que scripts como este sean seguros y efectivos, este script se entrega sin garantía, ya sea implícita o explícita. No utilice este script sin entender cómo puede afectar a su sistema. CISA no asume ninguna responsabilidad por los daños causados por este script.

Este script se proporciona «tal cual», únicamente con fines informativos. CISA no respalda ningún producto o servicio comercial, incluidos los temas de análisis. Cualquier referencia a productos, procesos o servicios comerciales específicos por marca de servicio, marca comercial, fabricante u otro, no constituye ni implica respaldo, recomendación o favorecimiento por parte de CISA.

Uso:

  1. Descarga este script y guárdalo como /tmp/recover.sh. Por ejemplo, con wget: wget -O /tmp/recover.sh https://raw.githubusercontent.com/cisagov/ESXiArgs-Recover/main/recover.sh
  2. Concede al script permisos de ejecución: chmod +x /tmp/recover.sh
  3. Navegue hasta la carpeta de una máquina virtual que desee descifrar (puede explorar estas carpetas ejecutando ls /vmfs/volumes/datastore1). Por ejemplo, si la carpeta se llama, ejecute cd /vmfs/volumes/datastore1/example
  4. Ejecute ls para ver los archivos. Observe el nombre de la máquina virtual (por ejemplo, si hay un archivo, el nombre de la máquina virtual es ejemplo).
  5. Ejecute el script de recuperación con /tmp/recover.sh [nombre], donde [nombre] es el nombre de la máquina virtual determinado en el paso 4. Si la máquina virtual tiene un formato delgado, ejecute /tmp/recover.sh [nombre] delgado.
  6. Si tiene éxito, el script de descifrado mostrará que se ha ejecutado correctamente. En caso contrario, es posible que no se puedan recuperar las máquinas virtuales.
  7. If the script succeeded, the last step is to re-register the virtual machine.
  8. Si no se puede acceder a la interfaz web de ESXi, siga estos pasos para eliminar la nota de rescate y restaurar el acceso (tenga en cuenta que al seguir estos pasos, la nota de rescate se mueve al archivo ransom.html. Considere la posibilidad de archivar este archivo para futuras revisiones de incidentes).
    • Ejecute cd /usr/lib/vmware/hostd/docroot/ui/ && mv index.html ransom.html && mv index1.html index.html
    • Ejecute cd /usr/lib/vmware/hostd/docroot && mv index.html ransom.html && rm index.html & mv index1.html index.html
    • Reinicie el servidor ESXi (por ejemplo, con el comando reboot). Después de unos minutos, usted debería ser capaz de navegar a la interfaz web.
  9. En la interfaz web de ESXi, vaya a la página Máquinas virtuales.
  10. Si la máquina virtual que ha restaurado ya existe, haga clic con el botón derecho del ratón en la máquina virtual y seleccione «Anular registro»
  11. Seleccione «Crear / Registrar VM»
  12. Seleccione «Registrar una máquina virtual existente».
  13. Haga clic en «Seleccionar una o más máquinas virtuales, un almacén de datos o un directorio» para navegar hasta la carpeta de la máquina virtual que ha restaurado. Seleccione el archivo vmx en la carpeta.
  14. Seleccione «Siguiente» y «Finalizar». Ahora debería poder utilizar la máquina virtual con normalidad.

Si es necesario, el script guardará los archivos encriptados en una nueva carpeta encrypted_files dentro del directorio de cada máquina virtual.

Aquí está el repositorio de GitHub: https://github.com/cisagov/ESXiArgs-Recover

🔥Suscribirse al canal: https://bit.ly/3vY16CT🔥


🚨Leer mi blog: https://angrysysops.com/


👊Twitter: https://twitter.com/AngrySysOps
👊Facebook: https://www.facebook.com/AngrySysOps
👊Mi Podcast: https://bit.ly/39fFnxm
👊Mastodon: https://techhub.social/@AngryAdmin


🔥Información sobre vExpert: https://bit.ly/3vXGPOa


🛒 Tienda VMware EMEA: https://imp.i263671.net/c/3505578/814646/11461


🛒 Tienda VMware US: https://imp.i263671.net/c/3505578/814642/11461


🛒 Tienda VMware APAC: https://imp.i263671.net/c/3505578/814645/11461

Please leave the comment