【预警】针对VMware vSphere的勒索病毒开始肆虐！！！-





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

数字医学与健康大会DMHC——美创与您相约古都金陵

2025-08-12

美创科技打造县域医疗灾备新标杆｜神木市医院 HIS 系统数据库分钟级切换演练实录

2025-07-02

百万罚单警示！DCAS助力金融机构筑牢数据安全防线，实现监管合规

2025-06-20

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

美创用户专访 | 精细化管理：医疗行业数据分类分级的策略与实践

2025-01-10

每周安全速递³⁵⁷ | 研究人员披露DireWolf勒索组织

2025-09-08

每周安全速递³⁵⁶ | Anthropic阻止AI驱动勒索攻击

2025-09-01

每周安全速递³⁵⁵ | Crypto24勒索软件研发定制EDR规避工具

2025-08-25

每周安全速递³⁵⁴ | Charon勒索软件攻击中东公共与航空部门

2025-08-25

CNVD漏洞周报2025年第29期

2025-08-11

【预警】针对VMware vSphere的勒索病毒开始肆虐！！！

发布时间：2021-03-18 阅读次数： 217 次

近日，美创安全实验室监测到一款针对VMware vSphere的勒索病毒——RansomEXX病毒。“RansomExx”勒索软件（又名“Defray777”）背后的组织在攻击活动中使用了CVE-2019-5544和CVE-2020-3992漏洞。

这两个漏洞都是存在于 VMware ESXi中的远程代码执行漏洞，攻击者将恶意的SLP（服务定位协议）请求发送到ESXi设备并对其进行控制。攻击活动中，攻击者首先入侵受害者公司的一台设备，并以该设备为初始入口攻击本地ESXi虚拟机并加密其虚拟硬盘。由于ESXi虚拟磁盘通常用于集中来自多个其他系统的数据，被攻击的虚拟机存储了来自多个虚拟机的数据，因此此次攻击对该公司造成了较大影响。

详细中毒情况

▶ VMware vsphere集群仅有vCenter处于正常状态；

▶ VMware vsphere部分：浏览ESXI Datastore发现，虚拟机磁盘文件.vmdk，虚拟机描述文件.vmx被重命名，手动打开.vmx文件，发现.vmx文件被加密；

▶ Windows部分：Windows客户端出现出现文件被加密情况，加密程度不一，某些PC全盘加密，某些PC部分文件被加密；Windows系统日志被清理，无法溯源。

影响范围

1、VMware ESXi 远程代码执行漏洞（CVE-2019-5544）

lESXi = 6.7

lESXi = 6.5

lESXi = 6.0

lVMware Horizon DaaS = 8.x

2、VMWARE ESXI 远程代码执行漏洞（CVE-2020-3992）

lESXi = 6.5