安全资讯

【预警】针对VMware vSphere的勒索病毒开始肆虐

近日,安全实验室监测到一款针对VMware vSphere的勒索病毒——RansomEXX病毒。“RansomExx”勒索软件(又名“Defray777”)背后的组织在攻击活动中使用了CVE-2019-5544和CVE-2020-3992漏洞。
这两个漏洞都是存在于 VMware ESXi中的远程代码执行漏洞,攻击者将恶意的SLP(服务定位协议)请求发送到ESXi设备并对其进行控制。攻击活动中,攻击者首先入侵受害者公司的一台设备,并以该设备为初始入口攻击本地ESXi虚拟机并加密其虚拟硬盘。由于ESXi虚拟磁盘通常用于集中来自多个其他系统的数据,被攻击的虚拟机存储了来自多个虚拟机的数据,因此此次攻击对该公司造成了较大影响。
详细中毒情况
▶ VMware vsphere集群仅有vCenter处于正常状态;
▶ VMware vsphere部分:浏览ESXI Datastore发现,虚拟机磁盘文件.vmdk,虚拟机描述文件.vmx被重命名,手动打开.vmx文件,发现.vmx文件被加密;
▶ Windows部分:Windows客户端出现出现文件被加密情况,加密程度不一,某些PC全盘加密,某些PC部分文件被加密;Windows系统日志被清理,无法溯源。
影响范围
1、VMware ESXi 远程代码执行漏洞(CVE-2019-5544)
lESXi = 6.7
lESXi = 6.5
lESXi = 6.0
lVMware Horizon DaaS = 8.x
2、VMWARE ESXI 远程代码执行漏洞(CVE-2020-3992)
lESXi = 6.5
lESXi = 6.7
lESXi = 7.0
lVMware Cloud Foundation (ESXi) = 3.X

lVMware Cloud Foundation (ESXi) = 4.X


需要防勒索病毒系统,请联系我们:全国免费咨询电话:400-1021-996



服务热线

138-6598-3726

产品和特性

价格和优惠

安徽灵狐网络公众号

微信公众号