Loading... <!-- wp:paragraph --> <p>2021.03.14 周日凌晨,睡梦中醒来,经用户反馈,大量虚拟机关闭,虚拟处于关机,并处于无法连接状态,用户生产环境停线。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>小岑和同事,以及用户,一起参与到业务恢复中。花费一整天时间,才将业务恢复的七七八八。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p></p> <!-- /wp:paragraph --> <!-- wp:paragraph {"fontSize":"medium"} --> <p class="has-medium-font-size"><strong>中毒现象:</strong></p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>VMware vSphere集群仅有vCenter处于正常状态。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>同时企业中Windows桌面PC,笔记本大量出现被加密情况。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p><strong>VMware vSphere部分</strong></p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>1.浏览ESXI Datastore发现,虚拟机磁盘文件.vmdk,虚拟机描述文件.vmx被重命名,手动打开.vmx文件,发现.vmx文件被加密。</p> <!-- /wp:paragraph --> <!-- wp:image {"id":1911,"sizeSlug":"large","linkDestination":"none"} --> <figure class="wp-block-image size-large"><img src="https://www.crazycen.com/usr/uploads/2021/03/image-4-1024x556.png" alt="" class="wp-image-1911" style=""></figure> <!-- /wp:image --> <!-- wp:image {"id":1912,"sizeSlug":"large","linkDestination":"none"} --> <figure class="wp-block-image size-large"><img src="https://www.crazycen.com/usr/uploads/2021/03/image-5-1024x548.png" alt="" class="wp-image-1912" style=""></figure> <!-- /wp:image --> <!-- wp:paragraph --> <p>VMware vm-support日志收集包中,竟然也有勒索软件生成的说明文件。</p> <!-- /wp:paragraph --> <!-- wp:image {"id":1916,"sizeSlug":"large","linkDestination":"none"} --> <figure class="wp-block-image size-large"><img src="https://www.crazycen.com/usr/uploads/2021/03/image-6-1024x503.png" alt="" class="wp-image-1916" style=""><figcaption>ESXI vm-support收集的日志诊断包</figcaption></figure> <!-- /wp:image --> <!-- wp:paragraph --> <p></p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p><strong>Windows部分</strong></p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>1.Windows客户端出现出现文件被加密情况,加密程度不一,某些用户全盘加密,某些用户部分文件被加密。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>2.Windows系统日志被清理,无法溯源。PS:客户端均安装有McAfee企业防病毒软件,然而并未起到防护作用。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>3.使用火绒、autoruns、深信服EDR产品,暂未发现异常。</p> <!-- /wp:paragraph --> <!-- wp:paragraph {"fontSize":"medium"} --> <p class="has-medium-font-size"><strong>本次事件处理方式:</strong></p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p><strong>VMware vSphere部分</strong></p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>1.得益于客户现有存储每天执行过快照,VMware vSphere虚拟化主机全部重建后,通过存储LUN快照创建新的LUN挂载给ESXI,进行手动虚拟机注册。然后启动虚拟机逐步验证数据丢失情况、恢复业务。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>2.用户有数据备份环境,部分存储于本地磁盘的VMware 虚拟机,由于无法通过快照的方式还原,通过虚拟机整机还原。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>3.对于没有快照、没有备份的虚拟机,只能选择放弃。后续重构该虚拟机。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>4.对现有虚拟化环境进行了升级。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p><strong>VMware的安全公告</strong></p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p><a href="https://www.vmware.com/security/advisories/VMSA-2019-0022.html" target="_blank" rel="noreferrer noopener">VMSA-2019-0022.1</a></p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p><a rel="noreferrer noopener" href="https://www.vmware.com/security/advisories/VMSA-2020-0023.html" target="_blank">VMSA-2020-0023.3</a></p> <!-- /wp:paragraph --> <!-- wp:image {"id":1908,"sizeSlug":"large","linkDestination":"none"} --> <figure class="wp-block-image size-large"><img src="https://www.crazycen.com/usr/uploads/2021/03/image-2-1024x280.png" alt="" class="wp-image-1908" style=""></figure> <!-- /wp:image --> <!-- wp:paragraph --> <p>改漏洞主要利用VMware使用的Openslp组件漏洞进行攻击。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>VMware缓解方案</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>禁用ESXI SLPD服务,但是vCenter无效</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p><a rel="noreferrer noopener" href="https://kb.vmware.com/s/article/76372" data-type="URL" data-id="https://kb.vmware.com/s/article/76372" target="_blank">How to Disable/Enable CIM Server on VMware ESXi (76372)</a></p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p> 补丁解决方案:</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>搜索对应版本Esxi和vCenter的补丁,进行升级。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p><span class="external-link"><a class="no-external-link" href="https://my.vmware.com/group/vmware/patch#search" target="_blank"><i data-feather="external-link"></i>https://my.vmware.com/group/vmware/patch#search</a></span></p> <!-- /wp:paragraph --> <!-- wp:image {"id":1909,"sizeSlug":"large","linkDestination":"none"} --> <figure class="wp-block-image size-large"><img src="https://www.crazycen.com/usr/uploads/2021/03/image-3-1024x629.png" alt="" class="wp-image-1909" style=""></figure> <!-- /wp:image --> <!-- wp:paragraph --> <p><strong>Windows部分</strong></p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>1.对于Windows客户端,进行断网,并快速抢救式备份数据。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>2.开启防病毒软件的防勒索功能。</p> <!-- /wp:paragraph --> <!-- wp:paragraph {"fontSize":"medium"} --> <p class="has-medium-font-size"><strong>勒索病毒的反思和建议:</strong></p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>1.数据备份非常重要,往往是灾难发生后的唯一救命稻草。建议有多份数据备份,且存储于不同介质。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>2.存储级别的冗余也很有必要,比如存储的快照,复制,克隆等技术,这些技术在备份和还原上非常的迅速,利于快速恢复业务。目前主流的中端存储基本都支持存储快照。建议采用定期的LUN快照,保护企业数据。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>3.关注厂商的安全公告,及时对现有环境中的软硬件环境进行升级。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>相关链接:</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p><a rel="noreferrer noopener" href="https://www.zdnet.com/article/ransomware-gangs-are-abusing-vmware-esxi-exploits-to-encrypt-virtual-hard-disks/" target="_blank">Ransomware gangs are abusing VMWare ESXi exploits to encrypt virtual hard disks</a></p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p></p> <!-- /wp:paragraph --> Last modification:October 6, 2023 © Allow specification reprint Support Appreciate the author AliPayWeChat Like 如果觉得我的文章对你有用,请随意赞赏
19 comments
我的文件也被网上不明程序加密过,加密exe文件,文件显示只少2byte,软件跟踪没发现异常,怀疑是装载的导入函数或系统异常有问题,后来重装系统,不过在重装系统前,系统不知道加载了一个什么不明进程,程序恢复了。
请问5版本受影响吗
不影响!
请问只要修复 CVE-2019-5544/CVE-2020-3992这两个漏洞就可以防范这个勒索病毒吗
能够防止直接的入侵,若esxi存在弱密码,其他主机有感染的话,也会被ssh登录上来加密!
这两个洞有公开exp了????
请问下6.0的版本有没有影响
6.0不影响,但是6.0已经停止支持了!尽快升级吧!
谢谢博主即时分享
刚刚看了另一个帖子说,6.7的U3版本不受影响,不知道是不是这样。。
嗯 vcenter是这样的,但是esxi要看下版本号!
还好有 镜像,不然就是灭顶之灾。。。。
发现一个小问题,从rss点过来直接会403,从首页过来就没事,这是检查refer了么
对的,存储有快照,很快的进行了还原!
403应该是网站做了安全限制,可以个图啥的给我不!
你好,ESXi是直接升级最新发布那个[2021-02-23]补丁就可以对不?ESXi升级好像没说需要前置?实在不好意思只升级过VC,ESXi还没升级过。
对的,可以的,这个补丁也修补了另一个重大漏洞vmsa-2021-0002 !
请问博主vsphere哪些版本受影响?禁用ESXI SLPD服务是否能保证安全?谢谢!
vsphere 6.5 6.7都会有影响,禁用slpd只能解决ESXI的问题。
感谢学长的分享,已经把帖子分享给了客户。
好的!