Cheerscrypt 勒索軟件攻擊 VMware ESXi 服務器
Cheerscrypt 是一種勒索軟件,被發現針對 VMware ESXi 服務器並使用典型的雙重勒索方法,這種方法在過去幾年中幾乎成為勒索軟件的慣例。
Cheerscrypt 操作員首先需要提升 ESXi 服務器上的權限,以便他們可以執行遠程命令。目前還不清楚如何獲得特權 shell 訪問,但一旦威脅者獲得了特權,他們就會發送一個命令來關閉服務器上的所有虛擬機。一旦關閉 VM 進程,勒索軟件就會開始加密文件。
與 VMware 相關的一系列擴展名和文件類型都經過加密,包括 .vmdk、vmem、.vmsn 和 .vswp。加密文件會在原始文件之外附加 .Cheers 擴展名。 Cheerscrypt 對文件進行加擾的每個目錄都會獲得一份名為“How to Restore Your Files.txt”的贖金記錄副本。
該說明給受害者 3 天支付贖金,並威脅被盜數據將在網上洩露,如果不按時付款,贖金需求將會增加。
VMware ESXi 服務器已被列為特別有利可圖的目標,因為它們被許多大公司使用,並且威脅行為者可以通過破壞和加密單個物理系統來影響受害者基礎架構的重要部分,這意味著勒索軟件運營商的工作量更少,並且最大的潛在利潤。