2min

Tags in dit artikel

, , ,

De U.S. Cybersecurity and Infrastructure Security Agency (CISA) heeft onlangs een script uitgebracht waarmee door de ESXiArgs-ransomware getroffen servers kunen worden hersteld. De cybertoezichthouder heeft dit script op GitHub ter beschikking gesteld.

Het gepubliceerde CISA ESXiArgs-Recover-script van de cybertoezichthouder van de Amerikaanse overheid moet de getroffen eindgebruikers helpen met het herstellen van hun servers, zonder daarvoor te moeten betalen.

Fout van cybercriminelen

Dit script was mogelijk omdat werd ontdekt dat de cybercriminelen tijdens hun aanval er niet in slaagden de zogenoemde ‘flat’-bestanden te versleutelen. In deze bestanden is de data voor de virtuele disks opgeslagen.

Experts van het YoreGroup Tech Team slaagden er vervolgens in om een, redelijk ingewikkelde, methode te ontwikkelen waarmee de versleutelde vm’s op basis van de niet-versleutelde flat-bestanden weer konden worden opgebouwd.

Werking script

Het CISA ESXiArgs-Recover script moet nu specifiek deze ontwikkelde herstelmethode automatiseren, waardoor hersteloperaties makkelijker kunnen worden uitgevoerd. Het script helpt bij het opnieuw opbouwen van de vm-metadata van virtuele disks die niet door de malware zijn getroffen. Het helpt met het opruimen van de versleutelde bestanden van een vm en probeert daarna het .vmdk-bestand van de vm te herbouwen met behulp van het niet-versleutelde ‘flat’-bestand. Wanneer dit proces klaar is, kunnen beheerders de vm weer in VMware ESXi registeren om toegang te krijgen.

CISA adviseert beheerders met klem het script eerst te bestuderen voordat ze het gaan gebruiken. Dit om te weten hoe het script werkt en om mogelijke complicaties te voorkomen. Ook is het verstandig back-ups te maken voordat met het recoveryproces wordt gestart.