近日，安全實(shí)驗(yàn)室監(jiān)測到一款針對VMware vSphere的勒索病毒——RansomEXX病毒。“RansomExx”勒索軟件（又名“Defray777”）背后的組織在攻擊活動中使用了CVE-2019-5544和CVE-2020-3992漏洞。
這兩個(gè)漏洞都是存在于 VMware ESXi中的遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者將惡意的SLP（服務(wù)定位協(xié)議）請求發(fā)送到ESXi設(shè)備并對其進(jìn)行控制。攻擊活動中，攻擊者首先入侵受害者公司的一臺設(shè)備，并以該設(shè)備為初始入口攻擊本地ESXi虛擬機(jī)并加密其虛擬硬盤。由于ESXi虛擬磁盤通常用于集中來自多個(gè)其他系統(tǒng)的數(shù)據(jù)，被攻擊的虛擬機(jī)存儲了來自多個(gè)虛擬機(jī)的數(shù)據(jù)，因此此次攻擊對該公司造成了較大影響。
詳細(xì)中毒情況
? VMware vsphere集群僅有vCenter處于正常狀態(tài)；
? VMware vsphere部分：瀏覽ESXI Datastore發(fā)現(xiàn)，虛擬機(jī)磁盤文件.vmdk，虛擬機(jī)描述文件.vmx被重命名，手動打開.vmx文件，發(fā)現(xiàn).vmx文件被加密；
? Windows部分：Windows客戶端出現(xiàn)出現(xiàn)文件被加密情況，加密程度不一，某些PC全盤加密，某些PC部分文件被加密；Windows系統(tǒng)日志被清理，無法溯源。
影響范圍
1、VMware ESXi 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2019-5544）
lESXi = 6.7
lESXi = 6.5
lESXi = 6.0
lVMware Horizon DaaS = 8.x
2、VMWARE ESXI 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-3992）
lESXi = 6.5
lESXi = 6.7
lESXi = 7.0
lVMware Cloud Foundation (ESXi) = 3.X

lVMware Cloud Foundation (ESXi) = 4.X

需要防勒索病毒系統(tǒng)，請聯(lián)系我們：全國免費(fèi)咨詢電話：400-1021-996