Шифровальщик Babyk

[Tivalee 0]

Здравствуйте!
Ко мне недавно обратился клиент, у которого был сервер. Этот сервер считался как второстепенный, а поскольку клиент работает по франшизе, то центральные сервера находились в Москве в головной организации.

 

На этом второстепенном сервере с флэшки запускался гипервизор VMware EXSi 6.7, и далее с жёсткого диска стартовали виртуальные машины, то бишь защитить гипервизор антивирусным решением не представлялось возможным.

 

На выходных была атака на центральные сервера головной компании, и помимо них оказался зашифрован и сервер моего клиента, все файлы виртуальных машин оказались потеряны, резервных копий не осталось (благодаря фирме, которая непосредственно обслуживает компьютеры и сервер этого клиента). Я даже не представляю, каким образом это получилось, если на сервере даже Windows не было, он работал чисто из-под гипервизора. Во всех папках был файл с названием "как восстановить файлы" (на английском), но внутри него ничего не было, никакого текста, никаких требований.

Сам файл вируса я предоставить не могу, могу лишь приложить файл "How To Restore Your Files.txt" без текста, и несколько файлов логов. Файлы дисков машин я приложить не могу, они "весят" более 100 гигов каждый.

 

Прошу оказать помощь в дешифровке файлов. У клиента имеется коммерческая лицензия Kaspersky Small Office Security

 

Вот ССЫЛКА на архив с примерами зашифрованных файлов, пароль - virus

 

Заранее благодарен!

 

 

[safety 83]

8 hours ago, Tivalee said:

Прошу оказать помощь в дешифровке файлов. У клиента имеется коммерческая лицензия Kaspersky Small Office Security

При наличие лицензии Вы можете напрямую обратиться в службу лаборатории Касперского.

 

Quote

Я даже не представляю, каким образом это получилось, если на сервере даже Windows не было, он работал чисто из-под гипервизора

Киберпреступники начали использовать новый вариант программы-вымогателя Babuk под названием SEXi: этот зловред нацелен на серверы VMware ESXi. На начало апреля 2024 года известно как минимум о четырёх атаках, в рамках которых злоумышленники требуют огромный выкуп за восстановление доступа к зашифрованной информации. И это не единственный тип шифровальщика, который выполняет шифрование виртуальных машин, работающих на платформе VMware ESXi.

Изменено 18 апреля пользователем safety

[Tivalee 0]

12 часов назад, safety сказал:

Киберпреступники начали использовать новый вариант программы-вымогателя Babuk под названием SEXi: этот зловред нацелен на серверы VMware ESXi. На начало апреля 2024 года известно как минимум о четырёх атаках, в рамках которых злоумышленники требуют огромный выкуп за восстановление доступа к зашифрованной информации. И это не единственный тип шифровальщика, который выполняет шифрование виртуальных машин, работающих на платформе VMware ESXi.

А как вообще вирус смог проникнуть в гипервизор, да ещё и запуститься, чтобы отключить все виртуальные машины и всё зашифровать? Ведь известно, что пока какой-либо файл занят программой, его система зашифровать не даст. Такое ощущение, что кто-то ручками поработал

[safety 83]

5 hours ago, Tivalee said:

А как вообще вирус смог проникнуть в гипервизор, да ещё и запуститься, чтобы отключить все виртуальные машины и всё зашифровать?

Вам лучше инициировать полноценное расследование данного киберинцидента с помощью IT-специалистов,  определить возможно ли восстановление зашифрованных виртуальных устройств, и предпринять на будущее меры безопасности чтобы исключить новые инциденты после восстановления работоспособности инфраструктуры.

Изменено 19 апреля пользователем safety