ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), son zamanlarda yaygın olan ESXiArgs fidye yazılımı saldırıları tarafından şifrelenen VMware ESXi sunucularını kurtarmak için bir komut dosyası yayınladı.
Geçen Cuma gününden itibaren, açığa çıkan VMware ESXi sunucuları, yaygın bir ESXiArgs fidye yazılımı saldırısında hedef alındı.
O zamandan beri saldırılar, CISA teknik danışmanı Jack Cable tarafından toplanan bir bitcoin adresleri listesine göre 2.800 sunucuyu şifreledi.
Birçok cihaz şifrelenmiş olsa da, tehdit aktörleri sanal diskler için verilerin depolandığı düz dosyaları şifreleyemediği için kampanya büyük ölçüde başarısız oldu.
Bu hata, YoreGroup Tech Team’den Enes Sönmez ve Ahmet Aykac’ın sanal makineleri şifrelenmemiş düz dosyalardan yeniden oluşturmak için bir yöntem geliştirmesine olanak sağladı.
Bu yöntem çok sayıda kişinin sunucularını kurtarmasına yardımcı oldu, ancak süreç bazıları için karmaşıktı ve birçok kişi ESXiArgs destek başlığımızdan yardım istiyor.
Kurtarmayı otomatikleştirmek için komut dosyası yayınlandı
Kullanıcıların sunucularını kurtarmalarına yardımcı olmak için CISA, kurtarma sürecini otomatikleştirmek için GitHub’da bir ESXiArgs-Recover komut dosyası yayınladı.
CISA, “CISA, bazı kuruluşların dosyaları fidye ödemeden kurtarmada başarılı olduğunu bildirdiğinin farkındadır. CISA, bu aracı, Enes Sönmez ve Ahmet Aykaç tarafından hazırlanan bir eğitim de dahil olmak üzere, halka açık kaynaklara dayanarak derlemiştir,” diye açıklıyor CISA.
“Bu araç, kötü amaçlı yazılım tarafından şifrelenmemiş sanal disklerden sanal makine meta verilerini yeniden oluşturarak çalışır.”
GitHub proje sayfasında VM’leri kurtarmak için ihtiyaç duyduğunuz adımlar bulunurken, özet olarak, komut dosyası bir sanal makinenin şifrelenmiş dosyalarını temizleyecek ve ardından şifrelenmemiş düz dosyayı kullanarak sanal makinenin .vmdk dosyasını yeniden oluşturmaya çalışacak.
Bittiğinde, başarılı olursa, VM’ye tekrar erişim kazanmak için sanal makineyi tekrar VMware ESXi’ye kaydedebilirsiniz.
CISA, nasıl çalıştığını anlamak ve olası komplikasyonları önlemek için yöneticileri kullanmadan önce komut dosyasını incelemeye teşvik eder. Komut dosyası herhangi bir soruna neden olmamalıdır, ancak BleepingComputer kurtarma girişiminde bulunulmadan önce yedeklerin oluşturulmasını şiddetle tavsiye eder.
“CISA, bunun gibi komut dosyalarının güvenli ve etkili olmasını sağlamak için çalışırken, bu komut dosyası, örtülü veya açık hiçbir garanti olmaksızın teslim edilir.” CISA’yı uyarıyor.
“Sisteminizi nasıl etkileyebileceğini anlamadan bu komut dosyasını kullanmayın. CISA, bu komut dosyasının neden olduğu zararlardan sorumlu değildir.”