![[Rumeur]Xiaomi : avènement du Xiaomi 13 Ultra le 17 Avril 2023, à partir de 13 heures ! (heure d’été française…)](https://blog.sosordi.net/wp-content/uploads/2023/03/xiaomi_xiaomi-13-ultra-330x180.jpg?x90172 "[Rumeur]Xiaomi : avènement du Xiaomi 13 Ultra le 17 Avril 2023, à partir de 13 heures ! (heure d’été française…)")
![[A venir !] Xiaomi : avènement du Redmi Note 12 Turbo, le 28 Mars 2023, à partir de 13 heures ! (heure d’été française…)](https://blog.sosordi.net/wp-content/uploads/2023/03/xiaomi_redmi-note-12-turbo_01-330x180.jpg?x90172 "[A venir !] Xiaomi : avènement du Redmi Note 12 Turbo, le 28 Mars 2023, à partir de 13 heures ! (heure d’été française…)")
![[MAJ 10 / 03]”Quand déployons-nous le nouveau variant ?”, “project fear”… ex-filtration de messages WhatsApp entre dirigeants du Royaume-Uni ! (Lockdown files…)](https://blog.sosordi.net/wp-content/uploads/2023/03/royaume-uni_lockdown-files_covid19_01-330x180.jpg?x90172 "[MAJ 10 / 03]”Quand déployons-nous le nouveau variant ?”, “project fear”… ex-filtration de messages WhatsApp entre dirigeants du Royaume-Uni ! (Lockdown files…)")
![[Le récap’ !][MAJ 23 / 03]Smartphones, montre, écouteurs, tablettes… Huawei prépare son offensive technologique, le 23 Mars 2023 !](https://blog.sosordi.net/wp-content/uploads/2023/03/huawei_p60-series-330x180.jpg?x90172 "[Le récap’ !][MAJ 23 / 03]Smartphones, montre, écouteurs, tablettes… Huawei prépare son offensive technologique, le 23 Mars 2023 !")
![[MAJ 22 / 03]”Un service d’IA conversationnel expérimental, propulsé par LaMDA” : Google dégaine sa solution sous Intelligence Artificielle nommée Bard !](https://blog.sosordi.net/wp-content/uploads/2023/02/google_bard-330x180.jpg?x90172 "[MAJ 22 / 03]”Un service d’IA conversationnel expérimental, propulsé par LaMDA” : Google dégaine sa solution sous Intelligence Artificielle nommée Bard !")
![[A venir !]Google I / O 2023 : les annonces de l’éditeur, le 10 Mai 2023 !](https://blog.sosordi.net/wp-content/uploads/2023/03/google_google-i-o-2023-330x180.jpg?x90172 "[A venir !]Google I / O 2023 : les annonces de l’éditeur, le 10 Mai 2023 !")
36.png){kind=small}
Tags populaires
0
Depuis le 7 Février 2023, la CISA (Cyber-security and Infrastructure Security Agency) a mis à disposition, depuis son Github, un outil pour tenter de récupérer en partie le contrôle de solutions VMWare impactées par ESXi Args, le ransomware.
“Le script ESXiArgs de CISA est basé sur les résultats publiés par les chercheurs tiers mentionnés ci-dessus. Toute organisation souhaitant utiliser le script de récupération ESXiArgs de CISA doit examiner attentivement le script pour déterminer s’il convient à son environnement avant de le déployer. Ce script ne cherche pas à supprimer les fichiers de configuration chiffrés, mais cherche plutôt à créer de nouveaux fichiers de configuration qui permettent d’accéder aux machines virtuelles. Alors que CISA travaille pour s’assurer que des scripts comme celui-ci sont sûrs et efficaces, ce script est livré sans garantie, implicite ou explicite. N’utilisez pas ce script sans comprendre comment il peut affecter votre système. CISA n’assume aucune responsabilité pour les dommages causés par ce script […] Cet outil fonctionne en reconstruisant les métadonnées de la machine virtuelle à partir de disques virtuels qui n’ont pas été chiffrés par le logiciel malveillant” est-il bien indiqué dans le descriptif, depuis la page Github dédiée, tout en précisant qu’il s’agit, donc, d’un contournement plus que d’un correctif, afin de pouvoir re-accéder à certains contenus sur les serveurs infectés.
Modus operandi :
- Télécharger le script ESXi Recovery,
- Enregistrer sous /tmp/recover.sh,
- Débloquer les permissions d’exécution : chmod +x,
- Aller à /vmfs/volumes/datastore1 (exploration-fichiers),
- Exécuter ls (affichage des fichiers),
- Noter le nom de la machine virtuelle,
- Exécuter le script de récupération de la CISA.
“Exécutez le script de récupération avec /tmp/recover.sh [nom], où [nom] est le nom de la machine virtuelle déterminé à l’étape 4. Si la machine virtuelle est au format léger, exécutez /tmp/recover.sh [nom] mince“, est-il plus précisément détaillé, à cette étape.
- Si succès de l’opération : déchiffrement effectué (message),
- Si échec de l’opération : potentiellement, impossibilité de déchiffrer,
- Si succès (suite) : re-enregistrer la machine virtuelle.
En cas de non-réponse d’ESXi : appliquez les étapes suivantes pour déplacer le fichier ransom.html et restaurer les paramètres :
- Exécuter cd/usr/lib/vmware/hostd/docroot/ui/&& mv index.html ransom.html && mv index1.html index.html ;
- Exécuter cd /usr/lib/vmware/hostd/docroot && mv index.html ransom.html && rm index.html & mv index1.html index.html ;
- Re-démarrer (reboot) le terminal-serveur ESXi : l’accès à l’interface Web devrait être opérationnel ;
- Depuis l’interface Web ESXi : aller à Machines Virtuelles ;
- Supprimer (en cas d’existence dans le listing) la machine virtuelle concernée par le ransomware (clic-droit sur la machine virtuelle puis “désenregistrer“) ;
- Aller à “créer” puis “enregistrer une MV” ;
- Sélectionner “enregistrer une machine virtuelle existante” ;
- Choisir “sélectionner une ou plusieurs machines virtuelles, une banque de données ou un répertoire” ;
- Sélectionner dans le dossier le fichier vmx concerné ;
- Cliquer sur “suivant” puis “terminer” ;
- La machine virtuelle devrait théoriquement fonctionner normalement : au besoin, le script de la CISA ira enregistrer les fichiers sous chiffrement dans un nouveau dossier (encryption_files) “dans le répertoire de chaque machine virtuelle“.
En aparté et selon l’analyste sécuritaire Michael Gillespie, les fichiers, au-delà d’une certaine taille (128 Mo), sont chiffrés, au minimum, à 50 % : une nouvelle variation du ransomware qui rendra sans doute encore plus difficile la tâche de tel script… A veiller !
Sources :
- BleepingComputer – 8 Février 2023 – ESXiArgs : variation du ransomware (seuil taille-fichier pour chiffrement et lien paiement-rancon BTC supprimé dans note de rançon, modifiés).
