提交需求
*
*

*
*
*
立即提交
点击”立即提交”,表明我理解并同意 《美创科技隐私条款》
免费试用
400-811-3777

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于美创
    申请试用
      热门阅读
      1

      美创科技打造县域医疗灾备新标杆|神木市医院 HIS 系统数据库分钟级切换演练实录

      2025-07-02

       2

      百万罚单警示!DCAS助力金融机构筑牢数据安全防线,实现监管合规

      2025-06-20

       3

      2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

      2025-02-07

       4

      美创用户专访 | 精细化管理:医疗行业数据分类分级的策略与实践

      2025-01-10

       5

      容灾演练双月报|美创助力某特大型通信基础设施央企顺利完成多个核心系统异地容灾演练

      2025-01-10
      相关文章

      每周安全速递³⁴⁷ | 俄罗斯法院释放多名REvil勒索软件团伙成员引发争议

      2025-06-27

      每周安全速递³⁴⁶ | 勒索团伙声称窃取Freedman HealthCare敏感文件

      2025-06-20

      每周安全速递³⁴⁵ | Play勒索团伙利用SimpleHelp漏洞实施双重勒索

      2025-06-13

      每周安全速递³⁴⁴ | 维多利亚的秘密因网络安全事件推迟2025年一季度财报发布

      2025-06-06

      每周安全速递³⁴³ | Everest勒索软件泄露可口可乐员工数据

      2025-05-30
      【预警】以全球 VMware ESXi 服务器为目标的ESXiArgs 勒索软件已到达战场!!!
      发布时间:2023-02-10 阅读次数: 544 次
      概  况

      近日,美创安全实验室根据勒索病毒威胁情报,发现了一款针对 VMware ESXi 服务器新型勒索软件(ESXiArgs)正在全球范围内大规模传播。该勒索软件于今年2月开始大规模出现。攻击者利用两年前未经修补的 RCE 漏洞 CVE-2021-21974 将恶意文件传输至 ESXi 导致 OpenSLP 服务中的堆溢出,从而获得交互式访问,借以部署新的 ESXiArgs 勒索病毒。

      漏洞利用
      CVE-2021-21974漏洞与 OpenSLP 相关,攻击者在可访问427端口的条件下,构造恶意的SLP请求触发OpenSLP服务中的堆溢出,从而导致远程执行代码。
      国内存在该漏洞影响的服务器数量如下所示(基于shodan统计数据):

      版本

      数量统计

      ESXi 6.5

      715

      ESXi 6.7

      3184

      ESXi 7.0

      1271

      ESXi 6.0.0

      665

      ESXi 5.0.0
      		342

      恶意文件分析

      ESXiArgs勒索软件在受感染的 ESXi 服务器上使用.vmxf、.vmx、.vmdk、.vmsd 和 .nvram 扩展名加密文件,并为每个包含元数据(可能需要解密)的加密文档创建一个.args文件。

      虽然这次攻击背后的威胁行为者声称窃取了数据,但一名受害者在 BleepingComputer 论坛上报告说,他们的事件并非如此。

      受害者还在锁定的系统上发现了名为“ransom.html”和“How to Restore Your Files.html”的赎金票据,指示受害者通过 TOX_ID与攻击者取得联系,以恢复加密文件或防止数据被泄露。

      图片

      解决方案

      1.勒索风险自查

      1)检查/store/packages/目录下是否存在vmtools.py后门文件。如果存在,建议立即删除该文件。

      2)检查/tmp/目录下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文件,如果存在,应及时删除。

      2.勒索处置建议

      1)立即隔离受感染的服务器,进行断网

      2)使用数据恢复工具恢复数据或重装ESXi

      美国CISA发布了 ESXiArgs 勒索软件恢复脚本,相关链接如下:


      https://github.com/cisagov/ESXiArgs-Recover

      3)重复“勒索风险自查”步骤

      4)恢复修改后的部分文件

      • 查看/usr/lib/vmware目录下的index.html文件是否为勒索信,如果是,立即删除该文件。

      • 看/etc/目录下是否存在motd文件,如果存在,立即删除。

      3.漏洞加固

      在 ESXi 中禁用 OpenSLP 服务,或者升级至 ESXi 7.0 U2c 或 ESXi 8.0 GA,ESXi 7.0 U2c或 ESXi 8.0 GA 版本默认情况下禁用该服务。

      4.数据备份

      针对重要的数据进行双机备份或云备份。

      5.安装美创诺亚防勒索

      美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性地研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。

      鉴于勒索病毒的无差别广谱特征,诺亚防勒索支持将已知病毒库导入,可先匹配,内置病毒诱捕功能,精确识别勒索病毒的入侵和告警。【诺亚防勒索系统】已支持查杀拦截此次事件使用的ESXiArgs 勒索软件。

      图片

      • 文档防勒索

      针对员工PC、服务器的文档进行防护,如:核心机密文档、日常办公文档、高价值文件、各类隐私文档。

      • 数据库防勒索

      针对Oracle、Sql Server、Mysql、DB2、DM、人大金仓、达梦、优炫等主流数据库、国产数据库,指定数据库类型或添加数据库可执行程序,允许只有数据库本身才能对数据文件进行修改等操作。

      • 哑终端防勒索

      针对广泛使用哑终端的关键性行业,如银行的ATM机、加油站自助机、医院自助查询机等。在堡垒模式下,任何新的软件都无法运行,勒索软件运行失败,从而无法破坏文件。


      上一条:美创科技发布《2023年1月勒索病毒威胁报告》
      下一条:【漏洞通告】 Jira Service Management Server 和 Data Center 身份认证绕过漏洞
      返回
      关注或联系美创
      官方订阅号 官方订阅号
      官方服务号 官方服务号
      第59号 第59号
      服务热线:400-811-3777
      商务合作:marketing@mchz.com.cn
      友情链接 中央网信办 公安部 工信部 CNCERT 中国信通院 中国软件测评中心 国家工业信息安全发展研究中心 赛迪研究院
      Copyright © 2024 杭州美创科技股份有限公司 All rights reserved.
      浙公网安备 33010502006954号 浙ICP备12021012号-1 网站地图 网站声明及隐私保护政策
      免费试用
      服务热线

      马上咨询

      400-811-3777

      回到顶部