Helyreállítási útmutató az ESXiArgs ransomware-hez

A CISA és az FBI a jelenleg is zajló, “ESXiArgs” néven ismert zsarolóvírus kampányra reagálva útmutatót adott ki a fájlok helyreállításához, azonban a bűnözők időközben változtattak a tikosítási módszeren.

A kiberbűnözők zsarolóvírusok telepítésére hazsnálhatják a VMware ESXi szerverek ismert sebezhetőségeit, amelyeken javítatlan és elavult verziók futnak. Az ESXiArgs zsarolóprogram titkosítja az ESXi szerverek konfigurációs fájljait és ezzel használhatatlanná teszi a virtuális gépeket.

A CISA a github.com/cisagov/ESXiArgs-Recover címen tett közzé egy helyreállítási szkriptet, amellyel az áldozatul esett szervezetek megpróbálhatják helyreállítani a fájlokat.

Az ESXiArgs vírus az eddigi információk szerint már több, mint 3800 szervert támadott meg világszerte. A CISA és az FBI arra ösztönzi a VMware ESXi szervereket kezelő szervezeteket, hogy:

  • frissítsék a szervereket a VMware ESXi szoftver legújabb verziójára,
  • tiltsák le a Service Location Protocol (SLP) szolgáltatást, és
  • győződjenek meg arról, hogy az ESXi hypervisor ne legyen elérhető az Internet irányából.

A megtámadott szervezeteknek a CISA és az FBI azt javasolja, hogy kövessék pontról pontra a CISA útmutatóját, és próbálják meg helyreállítani a fájlokhoz való hozzáférést (ez a CISA ígérete szerint frissítésre kerül, amint újabb információk válnak elérhetővé) az abban javasolt script segítségével.

Fontos azonban megjegyzeni, hogy a szkript működéséért és az általa okozott esetleges károkért a CISA ─ így az NBSZ NKI sem vállal felelősséget.

Az újabb támadások most már nagyobb mennyiségű adatot titkosítanak, ami sokkal nehezebbé (vagy lehetetlenné) teszi a titkosított VMware ESXi virtuális gépek helyreállítását.

A titkosító “encrypt.sh” kód az alábbi kiterjesztéseket keresi:

  • .vmdk
  • .vmx
  • .vmxf
  • .vmsd
  • .vmsn
  • .vswp
  • .vmss
  • .nvram
  • .vmem

A titkosító kód minden egyes talált fájl esetében ellenőrzi a fájl méretét, és ha az kisebb, mint 128 MB, akkor 1 MB-os lépésekben titkosítja a teljes fájlt. A 128 MB-nál nagyobb fájlok esetében kiszámít egy “size_step” értéket, ami azt eredményezi, hogy váltakozva titkosítja az 1 MB-os adatmennyiségeket, illetve nem titkosítja az adatdarabokat (a size_step megabájtban kifejezett méretét).

Az encrypt.sh a következő ─ az olvashatóság érdekében kissé módosított ─ képletet használja annak meghatározására, hogy milyen size_stepet kell használni:

size_step=((($size_in_kb/1024/100)-1))

Ez azt jelenti, hogy egy 4,5 GB-os fájl esetében a size_step értéke ’45’, ami azt eredményezi, hogy a titkosító váltakozva titkosítja a fájl 1 MB-ját és utána kihagy 45 MB-ot. Amint láthatjuk, elég sok adat marad titkosítatlanul, mire a folyamat befejeződik. Egy 450 GB-os fájl esetében a kihagyott adatok mennyisége drámaian megnő, a size_step értéke “4607” lesz, és váltakozva titkosít 1 MB és 4,49 GB adat kihagyásával. A titkosítatlan adatok e nagy darabjai miatt a kutatók kidolgoztak egy módszert a virtuális gépek helyreállítására a titkosítatlan fájlok felhasználásával.

A CISA által készített helyreállító szkript később automatizálta ezt a helyreállítási folyamatot.

Azonban 2023 február 8-án elindult egy második támadási hullám, amely sokkal több adatot titkosít a nagyméretű fájlokban. A titkosító algoritmus nem változott, de az encrypt.sh script ‘size_step’ értékét egyszerűen 1-re állították az új verzióban. Ez a változtatás azt eredményezte, hogy először 1 MB-nyi adat kerül titkosításra, majd 1 MB-nyi adat kihagyásra, vagyis 50%-ban lesznek titkosítva a 128 MB-nál nagyobb fájlok. Ez a változás megakadályozza, hogy a korábbi helyreállító eszközök sikeresen helyreállítsák a gépeket, mivel a fájlok túl nagy része vált titkosítottá ahhoz, hogy használhatók legyenek.

Az új támadási hullám váltságdíjfizetési felszólításaiban már nem szerepelnek bitcoin címek, ami valószínűleg annak köszönhető, hogy a biztonsági kutatók gyűjtötték őket a váltságdíjfizetések nyomon követése érdekében.

A BleepingComputer továbbra is azt javasolja, hogy a titkosított ESXi szervereket a CISA helyreállítási scriptjének segítségével próbálják meg helyreállítani, azonban ez valószínűleg nem fog működni, ha a támadók már az új titkosítási folyamatot használják.

(cisa.gov)

(bleepingcomputer.com)