Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

ESXiArgs: Cisa veröffentlicht Skript zur Rettung virtueller Maschinen

In den vergangen Tagen wurden etliche VMWare ESXi von der Ransomware ESXiArgs verschlüsselt. Ein Skript der Cisa kann die virtuellen Maschinen retten.
/ Moritz Tremmel
2 Kommentare News folgen (öffnet im neuen Fenster)
Ein Rettungsring für Betroffene der Ransomware ESXiArgs (Bild: Dimitri Wittmann/Pixabay)
Ein Rettungsring für Betroffene der Ransomware ESXiArgs Bild: Dimitri Wittmann/Pixabay

Die für Cybersicherheit zuständige US-Behörde Cisa hat ein Skript veröffentlicht, mit dem sich Betroffene der ESXiArgs-Ransomware helfen können. Darunter beispielsweise US-Universitäten und -Gerichte, aber auch Stellen in Frankreich, Großbritannien, Kanada und Italien meldeten entsprechende Angriffe. Laut Cisa(öffnet im neuen Fenster) sind 3.800 Server weltweit betroffen. Die Angriffe dauern an.

Zwar wurde die von ESXiArgs genutzte Sicherheitslücke in der Software VMWare ESXi bereits vor längerer Zeit geschlossen , offensichtlich haben jedoch viele Behörden, Unternehmen und andere Nutzer die entsprechenden Patches noch nicht eingespielt. Ein Skript der Cisa auf Github(öffnet im neuen Fenster) soll den Betroffenen dabei helfen, ihre virtuellen Maschinen wiederherzustellen. Dabei betont die Behörde, dass das Skript auf öffentlich zugänglichen Informationen der Sicherheitsforscher Enes Sönmez und Ahmet Aykaç basiere.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Systemadministrator*in für Basisdienste Infrastruktur Deutsche Rentenversicherung Bund, Würzburg,Berlin (öffnet im neuen Fenster)
Linux-Administrator (m/w/d) openfellas GmbH, Freiburg im Breisgau,München (öffnet im neuen Fenster)
Full Stack Developer Java (w/m/d) Cofinpro AG, Frankfurt (öffnet im neuen Fenster)
Sachbearbeiter/in und stellvertretende/r Sachgebietsleiter/in (w/m/d) Stadt Nürnberg, Nürnberg (öffnet im neuen Fenster)
Data Analyst, R&D Controlling (m/f/d) MED-EL Medical Electronics, Innsbruck (öffnet im neuen Fenster)
Duales Studium Wirtschaftsinformatik (m/w/d) Teilzeit HIL Heeresinstandsetzungslogistik GmbH, Bonn (öffnet im neuen Fenster)
Experte (m/w/d) Systementwickler Desktop Virtualisierung Finanz Informatik GmbH & Co. KG, Münster,Hannover (öffnet im neuen Fenster)
Lösungsarchitekt/in (m/w/d) IT & Digitalisierung Erzbistum Köln Generalvikariat, Köln (öffnet im neuen Fenster)

Cisa-Skript kann virtuelle Maschinen retten

Das recover.sh genannte Skript macht sich zunutze, dass die Angreifer temporäre Einstellungen der virtuellen Maschinen oftmals nicht mitverschlüsselt haben. Sind diese vorhanden und nicht verschlüsselt, hilft das Skript dabei, sie wieder herzustellen, und kopiert die von der Ransomware verschlüsselten Dateien in einen entsprechend benannten Ordner. In anderen Fällen kann das Skript den Betroffenen nicht weiterhelfen.

Vor dem Einsatz des Skriptes, aber auch allgemein sollte sichergestellt werden, dass VMWare ESXi auf den aktuellen Stand gebracht und damit die Sicherheitslücke gepatcht wurde. Anschließend rät die Cisa dazu, die Installation durch das Deaktivieren des Service Location Protocol (SLP) zu härten und sicherzustellen, dass der ESXi-Hypervisor nicht ungeschützt über das Internet zu erreichen ist.

Zur Startseite 2 Kommentare

Relevante Themen

USAToolsSecuritySicherheitslückeCybercrimeDatensicherheitVirtualisierungServerRansomware