安全資訊

近日，安全實(shí)驗室監測到一款針對VMware vSphere的勒索病毒——RansomEXX病毒?！癛ansomExx”勒索軟件（又名“Defray777”）背后的組織在攻擊活動(dòng)中使用了CVE-2019-5544和CVE-2020-3992漏洞。
這兩個(gè)漏洞都是存在于 VMware ESXi中的遠程代碼執行漏洞，攻擊者將惡意的SLP（服務(wù)定位協(xié)議）請求發(fā)送到ESXi設備并對其進(jìn)行控制。攻擊活動(dòng)中，攻擊者首先入侵受害者公司的一臺設備，并以該設備為初始入口攻擊本地ESXi虛擬機并加密其虛擬硬盤(pán)。由于ESXi虛擬磁盤(pán)通常用于集中來(lái)自多個(gè)其他系統的數據，被攻擊的虛擬機存儲了來(lái)自多個(gè)虛擬機的數據，因此此次攻擊對該公司造成了較大影響。
詳細中毒情況
? VMware vsphere集群僅有vCenter處于正常狀態(tài)；
? VMware vsphere部分：瀏覽ESXI Datastore發(fā)現，虛擬機磁盤(pán)文件.vmdk，虛擬機描述文件.vmx被重命名，手動(dòng)打開(kāi).vmx文件，發(fā)現.vmx文件被加密；
? Windows部分：Windows客戶(hù)端出現出現文件被加密情況，加密程度不一，某些PC全盤(pán)加密，某些PC部分文件被加密；Windows系統日志被清理，無(wú)法溯源。
影響范圍
1、VMware ESXi 遠程代碼執行漏洞（CVE-2019-5544）
lESXi = 6.7
lESXi = 6.5
lESXi = 6.0
lVMware Horizon DaaS = 8.x
2、VMWARE ESXI 遠程代碼執行漏洞（CVE-2020-3992）
lESXi = 6.5
lESXi = 6.7
lESXi = 7.0
lVMware Cloud Foundation (ESXi) = 3.X

lVMware Cloud Foundation (ESXi) = 4.X

需要防勒索病毒系統，請聯(lián)系我們：全國免費咨詢(xún)電話(huà)：400-1021-996