针对VMware vSphere的勒索病毒已经出现
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了针对VMware vSphere的勒索病毒已经出现,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含2201字,纯文字阅读大概需要4分钟。
内容图文
针对VMware vSphere的勒索病毒已经出现
https://www.crazycen.com/vmware/1905.html
2021年3月15日 8318点热度 15人点赞 10条评论
2021.03.14 周日凌晨,睡梦中醒来,经用户反馈,大量虚拟机关闭,虚拟处于关机,并处于无法连接状态,用户生产环境停线。
小岑和同事,以及用户,一起参与到业务恢复中。花费一整天时间,才将业务恢复的七七八八。
中毒现象:
VMware vSphere集群仅有vCenter处于正常状态。
同时企业中Windows桌面PC,笔记本大量出现被加密情况。
VMware vSphere部分
1.浏览ESXI Datastore发现,虚拟机磁盘文件.vmdk,虚拟机描述文件.vmx被重命名,手动打开.vmx文件,发现.vmx文件被加密。
VMware vm-support日志收集包中,竟然也有勒索软件生成的说明文件。
ESXI vm-support收集的日志诊断包
Windows部分
1.Windows客户端出现出现文件被加密情况,加密程度不一,某些用户全盘加密,某些用户部分文件被加密。
2.Windows系统日志被清理,无法溯源。PS:客户端均安装有McAfee企业防病毒软件,然而并未起到防护作用。
3.使用火绒、autoruns、深信服EDR产品,暂未发现异常。
本次事件处理方式:
VMware vSphere部分
1.得益于客户现有存储每天执行过快照,VMware vSphere虚拟化主机全部重建后,通过存储LUN快照创建新的LUN挂载给ESXI,进行手动虚拟机注册。然后启动虚拟机逐步验证数据丢失情况、恢复业务。
2.用户有数据备份环境,部分存储于本地磁盘的VMware 虚拟机,由于无法通过快照的方式还原,通过虚拟机整机还原。
3.对于没有快照、没有备份的虚拟机,只能选择放弃。后续重构该虚拟机。
4.对现有虚拟化环境进行了升级。
VMware的安全公告
改漏洞主要利用VMware使用的Openslp组件漏洞进行攻击。
VMware缓解方案
禁用ESXI SLPD服务,但是vCenter无效
How to Disable/Enable CIM Server on VMware ESXi (76372)
补丁解决方案:
搜索对应版本Esxi和vCenter的补丁,进行升级。
https://my.vmware.com/group/vmware/patch#search
Windows部分
1.对于Windows客户端,进行断网,并快速抢救式备份数据。
2.开启防病毒软件的防勒索功能。
勒索病毒的反思和建议:
1.数据备份非常重要,往往是灾难发生后的唯一救命稻草。建议有多份数据备份,且存储于不同介质。
2.存储级别的冗余也很有必要,比如存储的快照,复制,克隆等技术,这些技术在备份和还原上非常的迅速,利于快速恢复业务。目前主流的中端存储基本都支持存储快照。建议采用定期的LUN快照,保护企业数据。
3.关注厂商的安全公告,及时对现有环境中的软硬件环境进行升级。
相关链接:
Ransomware gangs are abusing VMWare ESXi exploits to encrypt virtual hard disks
内容总结
以上是互联网集市为您收集整理的针对VMware vSphere的勒索病毒已经出现全部内容,希望文章能够帮你解决针对VMware vSphere的勒索病毒已经出现所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。