ESXiArgs fidye yazılımı daha kapsamlı miktarda veriyi şifreliyor ve şifrelenmiş VMware ESXi sanal makinelerini kurtarmayı imkansız değilse bile çok daha zor hale getiriyor. Saldırganlar geçen cuma ESXiArgs fidye yazılımı kullanarak 3.000’den fazla internet’e açık VMware ESXi sunucusunu şifreledi. Yayınlanan raporlar, cihazların eski VMware SLP güvenlik açıkları kullanılarak şifrelendiğini gösterdi. Ancak bazı kullanıcılar cihazlarında SLP’nin devre dışı bırakıldığını halde şifrelendiğini belirtti.
Fidye yazılımı aşağıdaki dosyaları şifreliyor
.vmdk
.vmx
.vmxf
.vmsd
.vmsn
.vswp
.vmss
.nvram
.vmem
Komut dosyası, bulunan her dosya için dosya boyutunu kontrol ediyor ve dosya 128 MB’den küçükse tüm dosyayı 1 MB’lık artışlarla şifreliyor. Ancak, 128 MB’den büyük dosyalar için başka bir hesaplama yapılıyor.
encrypt.sh betiği aşağıdaki formülünü kullanıyor.
size_step=((($size_in_kb/1024/100)-1))
Bu, 4,5 GB’lık bir dosya için 45’lik bir size_step oluşturacağı ve şifreleyicinin 1 MB’lık dosyayı şifreleme ve 45 MB’lık dosyayı atlama arasında geçiş yapmasına neden olacağı anlamına gelir. Yani, görebileceğiniz gibi, bir dosyayı şifrelemeyi bitirene kadar oldukça fazla veri şifrelenmemiş olarak kalıyor. 450 GB’lık yada daha büyük dosyalar için atlanan veri miktarı önemli ölçüde artıyor. Bu nedenle araştırmacılar sanal makinenin disk verilerinin depolandığı büyük ve öncelikle şifrelenmemiş düz dosyaları kullanarak sanal makineleri kurtarmak için bir yöntem geliştirdiler.
Ne yazık ki, bugün ikinci bir ESXiArgs fidye yazılımı dalgası başladı ve büyük dosyalarda çok daha fazla veriyi şifreleyen değiştirilmiş bir şifreleme hesaplaması içeriyor. Bu değişiklik, aşağıda ilk saldırı dalgasındaki orijinal encrypt.sh size_step hesaplaması (solda) ile ikinci dalgadaki yeni shell komut dosyası (sağda) arasındaki karşılaştırmada gösteriliyor.
Fidye yazılımı uzmanı Michael Gillespie, “128 MB’ın üzerindeki tüm dosya verilerinin %50’si artık şifrelenmiş olacak ve bu da onları muhtemelen kurtarılamaz hale getirecek. Bu değişiklik aynı zamanda önceki kurtarma araçlarının makineleri başarılı bir şekilde kurtarmasını da engeller çünkü düz dosyalar kullanılamayacak kadar çok şifrelenmiş veriye sahip olacaktır.” dedi.
Bu ikinci saldırı dalgası, aşağıda gösterildiği gibi artık fidye notuna bitcoin adreslerini dahil etmeyerek fidye notunda küçük bir değişiklik yaptı.
Bitcoin adreslerinin kaldırılması, muhtemelen güvenlik araştırmacıları tarafından fidye ödemelerini izlemenmesinin önüne geçmek. Son olarak en büyük endişe verici nokta SLP’nin devre dışı bırakıldığı halde sistemlerin şifrelenmesi.
Kaynak: bleepingcomputer.com