Tivalee 0 Опубликовано 17 апреля Share Опубликовано 17 апреля Здравствуйте! Ко мне недавно обратился клиент, у которого был сервер. Этот сервер считался как второстепенный, а поскольку клиент работает по франшизе, то центральные сервера находились в Москве в головной организации. На этом второстепенном сервере с флэшки запускался гипервизор VMware EXSi 6.7, и далее с жёсткого диска стартовали виртуальные машины, то бишь защитить гипервизор антивирусным решением не представлялось возможным. На выходных была атака на центральные сервера головной компании, и помимо них оказался зашифрован и сервер моего клиента, все файлы виртуальных машин оказались потеряны, резервных копий не осталось (благодаря фирме, которая непосредственно обслуживает компьютеры и сервер этого клиента). Я даже не представляю, каким образом это получилось, если на сервере даже Windows не было, он работал чисто из-под гипервизора. Во всех папках был файл с названием "как восстановить файлы" (на английском), но внутри него ничего не было, никакого текста, никаких требований. Сам файл вируса я предоставить не могу, могу лишь приложить файл "How To Restore Your Files.txt" без текста, и несколько файлов логов. Файлы дисков машин я приложить не могу, они "весят" более 100 гигов каждый. Прошу оказать помощь в дешифровке файлов. У клиента имеется коммерческая лицензия Kaspersky Small Office Security Вот ССЫЛКА на архив с примерами зашифрованных файлов, пароль - virus Заранее благодарен! Цитата Ссылка на сообщение Поделиться на другие сайты
safety 83 Опубликовано 18 апреля Share Опубликовано 18 апреля (изменено) 8 hours ago, Tivalee said: Прошу оказать помощь в дешифровке файлов. У клиента имеется коммерческая лицензия Kaspersky Small Office Security При наличие лицензии Вы можете напрямую обратиться в службу лаборатории Касперского. Quote Я даже не представляю, каким образом это получилось, если на сервере даже Windows не было, он работал чисто из-под гипервизора Киберпреступники начали использовать новый вариант программы-вымогателя Babuk под названием SEXi: этот зловред нацелен на серверы VMware ESXi. На начало апреля 2024 года известно как минимум о четырёх атаках, в рамках которых злоумышленники требуют огромный выкуп за восстановление доступа к зашифрованной информации. И это не единственный тип шифровальщика, который выполняет шифрование виртуальных машин, работающих на платформе VMware ESXi. Изменено 18 апреля пользователем safety Цитата Ссылка на сообщение Поделиться на другие сайты
Tivalee 0 Опубликовано 18 апреля Автор Share Опубликовано 18 апреля 12 часов назад, safety сказал: Киберпреступники начали использовать новый вариант программы-вымогателя Babuk под названием SEXi: этот зловред нацелен на серверы VMware ESXi. На начало апреля 2024 года известно как минимум о четырёх атаках, в рамках которых злоумышленники требуют огромный выкуп за восстановление доступа к зашифрованной информации. И это не единственный тип шифровальщика, который выполняет шифрование виртуальных машин, работающих на платформе VMware ESXi. А как вообще вирус смог проникнуть в гипервизор, да ещё и запуститься, чтобы отключить все виртуальные машины и всё зашифровать? Ведь известно, что пока какой-либо файл занят программой, его система зашифровать не даст. Такое ощущение, что кто-то ручками поработал Цитата Ссылка на сообщение Поделиться на другие сайты
safety 83 Опубликовано 19 апреля Share Опубликовано 19 апреля (изменено) 5 hours ago, Tivalee said: А как вообще вирус смог проникнуть в гипервизор, да ещё и запуститься, чтобы отключить все виртуальные машины и всё зашифровать? Вам лучше инициировать полноценное расследование данного киберинцидента с помощью IT-специалистов, определить возможно ли восстановление зашифрованных виртуальных устройств, и предпринять на будущее меры безопасности чтобы исключить новые инциденты после восстановления работоспособности инфраструктуры. Изменено 19 апреля пользователем safety Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.