针对VMware vSphere的勒索病毒已经出现在https://www.crazy cen.com/VMware/1905.html中
2021年3月15日8318点发烧15人称赞10条评论
2021.03.14周日凌晨,在梦中醒来,经过用户反馈,大量虚拟机关闭,虚拟机关闭,无法连接,用户生产环境停止。
岑先生和同事,还有用户,一起参加着业务恢复。 花了一整天才恢复业务的七七八八。
中毒现象:
VMware vSphere群集只有vCenter处于正常状态。
企业内部的Windows台式PC对笔记本电脑进行了大量加密。
VMware vSphere部分
浏览ESXI Datastore时,发现VM磁盘文件. vmdk、VM描述文件. vmx已重命名,手动打开. vmx文件时, vmx文件已加密。
VMware虚拟机支持日志收集包中竟然还有恐吓软件生成的文档。
esxi虚拟机支持收集的日志诊断软件包
Windows部分
1 .在1.Windows客户端上,文件可能已加密。 加密程度不同,有些用户完全加密,有些用户加密了一些文件。
2.Windows系统日志已清理,无法跟踪。 所有PS:客户端都安装了McAfee企业防病毒软件,但不构成保护。
3 .使用天鹅绒、自动兰丝、深表认同的EDR产品,暂时未发现异常。
本次事件处理方式:
VMware vSphere部分
1 .由于客户的现有存储每天都在执行快照,因此在重建所有VMware vSphere虚拟化主机之后,可以从存储LUN快照创建新LUN并将其装载到ESXI中,然后手动注册虚拟机然后启动虚拟机,逐步验证数据丢失并重新启动业务。
2 .用户有数据备份环境,存储在本地磁盘上的部分VMware虚拟机无法通过快照恢复,因此将在整个虚拟机中恢复。
3 .对于既没有快照也没有备份的虚拟机,只能放弃。 然后,重新构建虚拟机。
4 .升级了现有虚拟化环境。
VMware的安全公告
VMSA-2019-0022.1
VMSA-2020-0023.3
漏洞修复主要是利用VMware使用的Openslp组件的漏洞进行攻击。
VMware缓解方案
ESXI SLPD服务无效,但vCenter无效
how to disable/enablecimserveronvmwareesxi (76372 )。
修补程序解决方案:
搜索并升级相应版本的Esxi和vCenter修补程序。
3359 my.VMware.com/group/VMware/patch # search
Windows部分
对于Windows客户端,请断开网络并快速备份数据。
2 .打开杀毒软件的防恐吓功能。
勒索病毒的反思和建议:
1 .数据备份非常重要,往往是灾难发生后唯一的救命稻草。 建议备份多个数据并将其存储在不同的介质上。
2 .还需要存储级别的冗馀。 例如,需要存储快照、复制和克隆等技术。 这些技术在备份和恢复方面非常快,有助于快速恢复业务。 目前主流的中端存储基本上支持存储快照。 建议使用定期LUN快照保护企业数据。
3 .关注厂商安全公告,及时升级现有环境中的软硬件环境。
相关链接:
ransomwaregangsareabusingvmwareesxiexploitstoencryptvirtualharddisks