针对VMware vSphere的勒索病毒已经出现

2024-01-18 12:14:10

2021年3月15日 8318点热度 15人点赞 10条评论

2021.03.14 周日凌晨，睡梦中醒来，经用户反馈，大量虚拟机关闭，虚拟处于关机，并处于无法连接状态，用户生产环境停线。

小岑和同事，以及用户，一起参与到业务恢复中。花费一整天时间，才将业务恢复的七七八八。

中毒现象：

VMware vSphere集群仅有vCenter处于正常状态。

同时企业中Windows桌面PC，笔记本大量出现被加密情况。

VMware vSphere部分

1.浏览ESXI Datastore发现，虚拟机磁盘文件.vmdk，虚拟机描述文件.vmx被重命名，手动打开.vmx文件，发现.vmx文件被加密。

VMware vm-support日志收集包中，竟然也有勒索软件生成的说明文件。

ESXI vm-support收集的日志诊断包

Windows部分

1.Windows客户端出现出现文件被加密情况，加密程度不一，某些用户全盘加密，某些用户部分文件被加密。

2.Windows系统日志被清理，无法溯源。PS:客户端均安装有McAfee企业防病毒软件，然而并未起到防护作用。

3.使用火绒、autoruns、深信服EDR产品，暂未发现异常。

本次事件处理方式：

VMware vSphere部分

1.得益于客户现有存储每天执行过快照，VMware vSphere虚拟化主机全部重建后，通过存储LUN快照创建新的LUN挂载给ESXI，进行手动虚拟机注册。然后启动虚拟机逐步验证数据丢失情况、恢复业务。

2.用户有数据备份环境，部分存储于本地磁盘的VMware 虚拟机，由于无法通过快照的方式还原，通过虚拟机整机还原。

3.对于没有快照、没有备份的虚拟机，只能选择放弃。后续重构该虚拟机。

4.对现有虚拟化环境进行了升级。

VMware的安全公告

VMSA-2019-0022.1

改漏洞主要利用VMware使用的Openslp组件漏洞进行攻击。

VMware缓解方案

禁用ESXI SLPD服务，但是vCenter无效

补丁解决方案：

搜索对应版本Esxi和vCenter的补丁，进行升级。

Windows部分

1.对于Windows客户端，进行断网，并快速抢救式备份数据。

2.开启防病毒软件的防勒索功能。

勒索病毒的反思和建议：

1.数据备份非常重要，往往是灾难发生后的唯一救命稻草。建议有多份数据备份，且存储于不同介质。

2.存储级别的冗余也很有必要，比如存储的快照，复制，克隆等技术，这些技术在备份和还原上非常的迅速，利于快速恢复业务。目前主流的中端存储基本都支持存储快照。建议采用定期的LUN快照，保护企业数据。

3.关注厂商的安全公告，及时对现有环境中的软硬件环境进行升级。

码农公寓