针对VMware vSphere的勒索病毒已经出现

最新推荐文章于 2024-06-12 15:25:33 发布
最新推荐文章于 2024-06-12 15:25:33 发布
阅读量5.8k 收藏 4
点赞数 3
分类专栏: VMware 安全
原文链接:https://www.crazycen.com/vmware/1905.html
版权
VMware 同时被 2 个专栏收录
357 篇文章 142 订阅
订阅专栏
安全
61 篇文章 3 订阅
订阅专栏

针对VMware vSphere的勒索病毒已经出现

https://www.crazycen.com/vmware/1905.html

2021年3月15日 8318点热度 15人点赞 10条评论

2021.03.14 周日凌晨,睡梦中醒来,经用户反馈,大量虚拟机关闭,虚拟处于关机,并处于无法连接状态,用户生产环境停线。

小岑和同事,以及用户,一起参与到业务恢复中。花费一整天时间,才将业务恢复的七七八八。

 

中毒现象:

VMware vSphere集群仅有vCenter处于正常状态。

同时企业中Windows桌面PC,笔记本大量出现被加密情况。

VMware vSphere部分

1.浏览ESXI Datastore发现,虚拟机磁盘文件.vmdk,虚拟机描述文件.vmx被重命名,手动打开.vmx文件,发现.vmx文件被加密。

VMware vm-support日志收集包中,竟然也有勒索软件生成的说明文件。

ESXI vm-support收集的日志诊断包

 

Windows部分

1.Windows客户端出现出现文件被加密情况,加密程度不一,某些用户全盘加密,某些用户部分文件被加密。

2.Windows系统日志被清理,无法溯源。PS:客户端均安装有McAfee企业防病毒软件,然而并未起到防护作用。

3.使用火绒、autoruns、深信服EDR产品,暂未发现异常。

本次事件处理方式:

VMware vSphere部分

1.得益于客户现有存储每天执行过快照,VMware vSphere虚拟化主机全部重建后,通过存储LUN快照创建新的LUN挂载给ESXI,进行手动虚拟机注册。然后启动虚拟机逐步验证数据丢失情况、恢复业务。

2.用户有数据备份环境,部分存储于本地磁盘的VMware 虚拟机,由于无法通过快照的方式还原,通过虚拟机整机还原。

3.对于没有快照、没有备份的虚拟机,只能选择放弃。后续重构该虚拟机。

4.对现有虚拟化环境进行了升级。

VMware的安全公告

VMSA-2019-0022.1

VMSA-2020-0023.3

改漏洞主要利用VMware使用的Openslp组件漏洞进行攻击。

VMware缓解方案

禁用ESXI SLPD服务,但是vCenter无效

How to Disable/Enable CIM Server on VMware ESXi (76372)

补丁解决方案:

搜索对应版本Esxi和vCenter的补丁,进行升级。

https://my.vmware.com/group/vmware/patch#search

Windows部分

1.对于Windows客户端,进行断网,并快速抢救式备份数据。

2.开启防病毒软件的防勒索功能。

勒索病毒的反思和建议:

1.数据备份非常重要,往往是灾难发生后的唯一救命稻草。建议有多份数据备份,且存储于不同介质。

2.存储级别的冗余也很有必要,比如存储的快照,复制,克隆等技术,这些技术在备份和还原上非常的迅速,利于快速恢复业务。目前主流的中端存储基本都支持存储快照。建议采用定期的LUN快照,保护企业数据。

3.关注厂商的安全公告,及时对现有环境中的软硬件环境进行升级。

相关链接:

Ransomware gangs are abusing VMWare ESXi exploits to encrypt virtual hard disks

z荒野求生
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
预警!VMware ESXi服务器遭大规模勒索攻击,已有数千系统中招!科力锐提供勒索病毒拦截&应急恢复体系化解决方案
weixin_74412513的博客
03-01 726
安全大数据公司Censys对勒索信息进行了检索和披露,显示欧洲和北美已有数千台服务器遭到破坏。奥地利计算机安全应急响应小组在周一也发出警告,称“至少有3762个系统”受到了影响。据悉,意大利、法国、芬兰、美国、加拿大等国均遭到攻击,意大利电信公司出现大规模互联网中断,国内已受影响服务器也有数十台左右。多国网络安全组织机构已对此发出警告!
VMware vsphere Enterprise各个版本的区别
08-16
VMware vSphere是业界领先的虚拟化平台,提供了一系列版本来满足不同规模企业和组织的需求。本文将详细介绍vSphere的几个主要版本:Essentials Kit、Essentials Plus Kit、Standard、Enterprise和Enterprise Plus...
ESXi Args勒索病毒来袭,VMware ESXi用户需提高警惕
qq_42934452的博客
02-17 564
云祺助您应对数据安全挑战
【紧急警示】Locked勒索病毒利用最新PHP远程代码执行漏洞大规模批量勒索!文末附详细加固方案
最新发布
2401_83062893的博客
06-12 1337
PHP是一门通用开源脚本语言,其语法借鉴吸收C、Java和Perl等流行计算机语言的特点,因此利于学习,使用广泛,主要适用于Web开发领域。XAMPP是最流行的PHP开发环境,XAMPP是完全免费且易于安装的Apache发行版,其中包含MariaDB、PHP和Perl。XAMPP开放源码包的设置让安装和使用出奇容易,它以其广泛的应用范围在本地开发和测试领域备受赞誉。官网地址:https://www.apachefriends.org/zh_cn/index.html。
新型RedAlert勒索病毒又来了,专门针对VMWare ESXi服务器
qq_42934452的博客
07-21 359
Linux平台勒索病毒愈发活跃
新型RedAlert勒索病毒针对VMWare ESXi服务器
小王的储物间
03-09 364
RedAlert勒索病毒又称为N13V勒索病毒,是一款2022年新型的勒索病毒,最早于2022年7月被首次曝光,主要针对Windows和Linux VMWare ESXi服务器进行加密攻击,到目前为止该勒索病毒黑客组织在其暗网网站上公布了一名受害者,同时该名受害者在其官网上也发布了被黑客攻击的信息,该名受害者企业正在与网络犯罪领域的专家进行取证和溯源工作,并发布了相关的公告,如下所示:该企业公告表明:尚不能肯定数据库被泄露了,但出于透明度的考虑,已经预防性地通知了客户,根据目前的掌握的情况,攻击者并没有入侵
关于勒索病毒
weixin_39003396的博客
04-30 3060
最近悲剧了,公司金蝶服务器被勒索病毒感染,全部变成了.java文件。心情特别急躁,之前了解过,但是没有放在心上,更没有注意防范过。在这里提醒各位小伙伴,一定要注意了,一旦被入侵,没有好的解决办法,只能是找解密公司。根据我了解,解密公司也是通过特殊途径和黑客联系,取得秘钥进行解密。解密公司首先通过工具搜索受感染计算机上的所有黑客留下的ID,然后将ID交于黑客取得秘钥解密。感觉他们总是晚上进行工作,白...
VMware vSphere 7.0 实战快速入门
07-29
VMware vSphere 7.0 实战快速入门
VMware vSphere 6.5 全套中文手册
10-31
包含ESXi 和 vCenter Server 产品文档、VMware Tools、VMware Vitual SAN、VMware vSphere Data Protection、vSphere Update Manager、补充文档、兼容性和配置限制、命令行界面、新功能和发行说明、vsphere-admin-...
VMware vSphere 8 Hypervisor (ESXi ISO)
12-09
VMware vSphere Hypervisor (ESXi ISO) image 2022-10-11 8.0.0 619.13 MB iso Boot your server with this image in order to install or upgrade to ESXi (ESXi requires 64-bit capable servers). This ESXi ...
VMware vSphere 6.7 全套下载
08-07
vsphere6.7 是业内最完整最强健的虚拟机平台,创建资源池来管理计算、网络和存储容量与易用性,并提供最高水平的服务,每个应用程序工作负载以最低的总成本。
又来了!针对VMware ESXi的新型勒索软件出现
qq_42934452的博客
06-09 1016
已有多家企业遭受攻击
VMware ESXi 服务器的大规模勒索攻击事件「防御指南」,含风险自查与勒索防护!
weixin_40191861的博客
04-01 637
检查/tmp/目录下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文件,如果存在,应及时删除。VMware ESXi 是 VMware 开放的服务器资源整合平台,可实现用较少的硬件集中管理多台服务器,并提升服务器性能和安全性,(1)查看/usr/lib/vmware目录下的index.html文件是否为勒索信,如果是,立即删除该文件。(2)查看/etc/目录下是否存在motd文件,如果存在,立即删除。登陆EXSi后台,点击帮助-关于,即可获取版本号。
VM被勒索软件团伙重视
llawliet0001的专栏
09-25 261
导读 根据Sophos的最新研究显示,Maze勒索软件背后的攻击者采用Ragnar Locker勒索软件团伙的做法,利用虚拟机来逃避检测。 该安全供应商最先观察到这种攻击手段,攻击者早在5月就开始将勒索软件有效负载分布在虚拟机内。与Ragnar Locker勒索软件团伙相关的攻击者将恶意代码隐藏在Windows XP VM中,这使勒索软件可以肆意运行,而不会被端点的安全软件检测到或阻止。 在今年7月,Sophos发现,Maze勒索软件使用类似方法对一家未具名组织进行攻击。调查显示,攻击者不断
ESXi 勒索病毒ESXiArgs 其 CVE-2021-21974 漏洞分析
Songxwn的博客
02-07 1465
SLP服务漏洞
终于,抓到了勒索病毒作者!!
JAVA葵花宝典
10-18 804
阅读本文大概需要 5 分钟。 来自:南通公安当前,勒索病毒不断蔓延,各类新型病毒层出不穷,一些企业、金融机构甚至政府网站遭到攻击,犯罪嫌疑人索要赎金只认比特币,以逃避警方追查。在“...
VMware OpenSLP漏洞解决方案
m0_64423407的博客
11-26 855
ESXI openslp漏洞解决分享
VMware ESXi OpenSLP堆溢出漏洞,附本次勒索软件ESXiArgs恶意文件分析(CNVD-2021-12321对标CVE-2021-21974)
鸭梨山大。
02-14 3896
近日以VMware ESXi服务器为目标的大规模勒索软件攻击正在席卷全球,包括法国、芬兰、加拿大、美国、意大利等多个国家数千台服务器遭到入侵。攻击者利用了2021年2月公开的高危漏洞(CNVD-2021-12321,),可以向WMware ESXi软件目标服务器427端口发送恶意构造的数据包,从而触发其OpenSLP服务堆缓冲区溢出,并执行任意代码,借以部署新的 ESXiArgs 勒索软件。一、漏洞详情VMware vSphere是美国威睿公司推出一套服务器虚拟化解决方案,包括虚拟化、管理和界面层。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值