La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) ha publicado un script para recuperar servidores VMware ESXi cifrados por los recientes ciberataques del ransomware ESXiArgs.
Los servidores VMware ESXi expuestos fueron blanco de un ataque generalizado de ransomware ESXiArgs.
Desde entonces, los ataques han cifrado 2.800 servidores, según una lista de direcciones bitcoin recopilada por el asesor técnico de CISA Jack Cable.
Aunque se cifraron muchos dispositivos, la campaña fue en gran parte infructuosa, ya que los autores de la amenaza no cifraron los archivos planos, donde se almacenan los datos de los discos virtuales.
Este error permitió a Enes Sonmez y Ahmet Aykac, del equipo técnico de YoreGroup, idear un método para reconstruir máquinas virtuales a partir de archivos planos sin cifrar.
Este método ha ayudado a numerosas personas a recuperar sus servidores, pero el proceso ha sido complicado para algunos, con mucha gente pidiendo ayuda en nuestro tema de soporte ESXiArgs.
Lanzamiento de un script para automatizar la recuperación
Para ayudar a los usuarios a recuperar sus servidores, CISA publicó un script ESXiArgs-Recover en GitHub para automatizar el proceso de recuperación.
«CISA es consciente de que algunas organizaciones han reportado éxito en la recuperación de archivos sin pagar rescates. CISA compiló esta herramienta basándose en recursos disponibles públicamente, incluyendo un tutorial de Enes Sonmez y Ahmet Aykac», explica CISA.
«Esta herramienta funciona reconstruyendo metadatos de máquinas virtuales a partir de discos virtuales que no fueron cifrados por el malware».
Aunque la página del proyecto de GitHub contiene los pasos necesarios para recuperar máquinas virtuales, en resumen, el script limpiará los archivos cifrados de una máquina virtual y, a continuación, intentará reconstruir el archivo .vmdk de la máquina virtual utilizando el archivo plano sin cifrar.
Una vez finalizado, si tiene éxito, puede volver a registrar la máquina virtual en VMware ESXi para acceder de nuevo a la máquina virtual.
CISA insta a los administradores a revisar el script antes de usarlo para entender cómo funciona y evitar posibles complicaciones. Aunque el script no debería causar ningún problema.
«Aunque CISA trabaja para garantizar que scripts como éste sean seguros y eficaces, este script se entrega sin garantía, ni implícita ni explícita», advierte CISA.
«No utilice este script sin entender cómo puede afectar a su sistema. CISA no se hace responsable de los daños causados por este script».
