Decrypt your *.vmdk affected by CVE-2020-3992 / CryptoLocker attack

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прошлая пятница закончилась масштабной атакой на сервера ESXi < 7.0 на leaseweb.

Заранее прошу прощение за неточности перевода, очепятки и/или несглаженные углы, но тут идет гонка на время и будь его больше, то естественно я и авторы оригинальной статьи подошли бы более кропотливо.

Вам необходимо защитить свой сервер, если он еще не скомпрометирован. Этот эксплойт работает, используя сервис SLP, поэтому лучше пока отключите его.

/etc/init.d/slpd stop 
esxcli network firewall ruleset set -r CIMSLP -e 0 
chkconfig slpd off

Эта команда отключает набор правил брандмауэра для службы CIMSLP на хосте ESXi. «Набор правил сетевого брандмауэра esxcli» — это инструмент командной строки для управления правилами брандмауэра на хосте ESXi. Параметр «-r» указывает имя набора правил брандмауэра, который необходимо изменить, а параметр «-e» устанавливает включенное состояние набора правил. Значение «0» означает, что набор правил брандмауэра отключен, а значение «1» означает, что он включен.

По состоянию на 03.02.2023 версии ESXi 6.x подверглись воздействию вируса CryptoLocker из-за уязвимости, и виртуальные серверы стали непригодными для использования. Для пользователей, которые столкнулись с этим и оказались с зашифрованными файлами vmdk, я расскажу, как восстановить виртуальный сервер. Вирус шифрует небольшие файлы, такие как .vmdk .vmx, но не файл server-flat.vmdk. В структуре ESXi фактические данные хранятся в файле flat.vmdk. Я расскажу, как сделать запасной вариант с помощью flat.vmdk. Прежде всего, когда вы войдете на свой сервер ESXi, вы увидите предупреждение о SSH, подобное этому

Теперь перезагрузите ESXi, после загрузки войдите в SSH. Введите папку виртуального сервера, который вы хотите восстановить. Вы вводите datastorexxx с FTP, но его имя меняется на 6094xxx.

После входа в папку набираем команду ls -la, здесь мы получим размер flat.vmdk. Там написано 64424509440.

P.S. Для машин, в которых есть несколько дисков и/или снапшоты стоит производить подобные действия с файлами .vmdk как и с xxx.vmdk, только с подстановкой необходимых имен.

Теперь удалите существующий файл .vmdk, набрав rm -rf xxx.vmdk 

ПРИМЕЧАНИЕ. Удалите файл xxx.vmdk. Никогда не удаляйте xxx-flat.vmdk.

Затем введите команду vmkfstools -c 64424509440 -d thin temp.vmdk. Обратите внимание, что размер 64424509440 здесь должен быть -flat.vmdk, когда мы делаем ls -la.

Теперь при входе в папку вы увидите temp.vmdk и temp-flat.vmdk.

Откройте temp.vmdk с помощью блокнота, он будет выглядеть так, как показано выше. В строке 9 написано «temp-flat.vmdk». Мы заменим его оригинальным -flat.vdmk. Мое исходное имя flat.vmdk было 185.88.172.17-flat.vmdk, поэтому я редактирую его соответствующим образом. Я также удаляю строку ddb.thinProvisioned = "1" в строке 19. (В моем случае строки были сдвинуты на 1).

Я отредактировал строку 9 на «185.88.172.17-flat.vmdk» и удалил строку ddb.thinProvisioned = «1» в строке 19.

Затем вернитесь на FTP и удалите temp-flat.vmdk. Переименуйте файл temp.vmdk так же, как flat.vmdk. Мое имя flat.vmdk было 185.88.172.17-flat.vmdk. Поэтому я изменил имя файла temp.vmdk на 185.88.172.17.vmdk, поэтому просто удалил строку -flat. Окончательное состояние было следующим

Далее мы отредактируем ваш файл .vmx. Поскольку ваш текущий файл .vmx зашифрован, его резервная копия остается как .vmx~. Имя файла на моем FTP — 185.88.172.17.vmx~. Открываю блокнотом, беру все коды и вставляю в оригинальный .vmx (в 185.88.172.17.vmx)

Вот как работает внутренний файл xxx.vmx, поэтому я просто взял файл xxx.vmx~, копировал и переименовал в xxx.vmx.

Затем вернитесь на FTP и удалите файл .vmsd, он зашифрован и поврежден, он вам не нужен.

Вернитесь к экрану SSH и введите vmkfstools -e xxxx.vmdk Сделайте любое имя .vmdk.

Затем войдите в хранилище данных в ESXi и щелкните правой кнопкой мыши xxx.vmx в папке, которую вы редактировали, и сделайте «Зарегистрировать виртуальную машину». Если виртуальная машина уже существует, сначала щелкните ее правой кнопкой мыши в области «Виртуальные машины» и «Отменить регистрацию», то есть удалите ее из интерфейса ESXi, затем щелкните правой кнопкой мыши файл .vmx и сделайте так, чтобы он зарегистрировал виртуальную машину.

После регистрации виртуальной машины ваш виртуальный сервер появится в области виртуальных машин ESXi, и вы сможете открыть его и использовать.

После завершения этих процессов не забудьте отформатировать ESXi и отключить его. Также обновите свой ESXi с помощью последних доступных исправлений безопасности.

Удалить содержимое файла /etc/motd для того, чтобы при входе на сервер больше не отображалось сообщение о взломе. Вы можете использовать команду 

echo "" > /etc/motd

К сожалению данный мануал не дает 100% гарантии на восстановление (у меня не все машины получилось восстановить), на некоторых слетела система, однако можно поднять новую машину рядом и подключить диск с восстановленной машины к новой и достать свои файлы.

Источник: https://habr.com/ru/post/715148/


Интересные статьи

Интересные статьи

В этой статье мы реализуем эффективный алгоритм Frey-Rück Attack для подписи ECDSA в транзакции блокчейна Биткоина. В наших более ранних публикациях мы несколько раз затрагивали те...
Статья направлена на решение проблемы "зависания" выгрузки результатов опросов при использовании модуля Vote 1С-Битрикс в случае, если в опросе много вопросов или ответов. Так-же в статье реализована ...
На Хабре ни для кого не секрет, что в текущей повестке практически все сферы частного бизнеса вынуждены реагировать на происходящие изменения. Большое количество привычных всем нам зарубежных сервисов...
Цель статьи, – показать примеры управления реализацией стратегии с помощью корпоративной единой информационной площадки на доступном инструменте, - Битрикс24. В статье на простом языке обсуждаются воз...
Один из самых острых вопросов при разработке на Битрикс - это миграции базы данных. Какие же способы облегчить эту задачу есть на данный момент?