Una herramienta para recuperarse del ransomware: ESXiArgs

La amplia campaña de rescate en los servidores VMware Esxi: la Agencia de Infraestructura y Cibernética de EE. UU. Publica un script para restaurar la información muscle.
La campaña, que hasta ahora ha alcanzado al menos 2.800 servidores, no es considerada particularmente exitosa por los atacantes. Al monitorear las billeteras criptográficas, parece que se pagó muy poco rescate ($ 100k ~) y, en retrospectiva, resulta que los atacantes llevaron a cabo el cifrado de una manera descuidada que permite la recuperación de la información con relativa facilidad.

La Agencia de Infraestructura y Cibernética de EE. UU. (CISA) publica un script que permite a las víctimas reconstruir los servidores comprometidos y recuperar la información cifrada.

ESXiArgs-Recover

ESXiArgs-Recover es una herramienta que permite a las organizaciones intentar la recuperación de máquinas virtuales afectadas por los ataques del ransomware ESXiArgs.

Disclaimer

El script ESXiArgs de CISA se basa en los hallazgos publicados por los investigadores externos mencionados anteriormente. Cualquier organización que desee utilizar la secuencia de comandos de recuperación ESXiArgs de CISA debe revisar cuidadosamente la secuencia de comandos para determinar si es adecuada para su entorno antes de implementarla. Este script no busca eliminar los archivos de configuración cifrados, sino que busca crear nuevos archivos de configuración que permitan el acceso a las máquinas virtuales. Si bien CISA trabaja para garantizar que los scripts como este sean seguros y efectivos, este script se entrega sin garantía, ya sea implícita o explícita. No utilice este script sin comprender cómo puede afectar a su sistema. CISA no asume ninguna responsabilidad por los daños causados por este script.

Este script se proporciona «tal cual» solo con fines informativos. CISA no respalda ningún producto o servicio comercial, incluidos los sujetos de análisis. Cualquier referencia a productos, procesos o servicios comerciales específicos por marca de servicio, marca comercial, fabricante o de otro modo, no constituye ni implica respaldo, recomendación o favorecimiento por parte de CISA.

Uso

1. Download this script and save it as /tmp/recover.sh. For example, with wget: wget -O /tmp/recover.sh https://raw.githubusercontent.com/cisagov/ESXiArgs-Recover/main/recover.sh
2. Give the script execute permissions: chmod +x /tmp/recover.sh
3. Navigate to the folder of a virtual machine you would like to decrypt (you may browse these folders by running ls /vmfs/volumes/datastore1). For instance, if the folder is called example, run cd /vmfs/volumes/datastore1/example
4. Run ls to view the files. Note the name of the VM (e.g. if there is a file example.vmdk, the name of the VM is example).
5. Run the recovery script with /tmp/recover.sh [name], where [name] is the name of the virtual machine determined in step 4. If the virtual machine is a thin format, run /tmp/recover.sh [name] thin.
6. If successful, the decryptor script will output that it has successfully run. If unsuccessful, this may mean that your virtual machines cannot be recovered.
7. If the script succeeded, the last step is to re-register the virtual machine.
8. If the ESXi web interface is inaccessible, take the following steps to remove the ransom note and restore access (note that taking the steps below moves the ransom note to the file ransom.html. Cconsider archiving this file for future incident review).
   • Run cd /usr/lib/vmware/hostd/docroot/ui/ && mv index.html ransom.html && mv index1.html index.html
   • Run cd /usr/lib/vmware/hostd/docroot && mv index.html ransom.html && rm index.html & mv index1.html index.html
   • Reboot the ESXi server (e.g., with the reboot command). After a few minutes, you should be able to navigate to the web interface.
9. In the ESXi web interface, navigate to the Virtual Machines page.
10. If the VM you restored already exists, right click on the VM and select “Unregister”.
11. Select “Create / Register VM”.
12. Select “Register an existing virtual machine”.
13. Click “Select one or more virtual machines, a datastore or a directory” to navigate to the folder of the VM you restored. Select the vmx file in the folder.
14. Select “Next” and “Finish”. You should now be able to use the VM as normal.

If needed, the script will save encrypted files in a new encrypted_files folder within each virtual machine’s directory.

Fuente: https://github.com/cisagov/ESXiArgs-Recover