[Перевод] Decrypt your *.vmdk affected by CVE-2020-3992 / CryptoLocker attack

Прошлая пятница закончилась масштабной атакой на сервера ESXi < 7.0 на leaseweb.

Заранее прошу прощение за неточности перевода, очепятки и/или несглаженные углы, но тут идет гонка на время и будь его больше, то естественно я и авторы оригинальной статьи подошли бы более кропотливо.

Вам необходимо защитить свой сервер, если он еще не скомпрометирован. Этот эксплойт работает, используя сервис SLP, поэтому лучше пока отключите его.

/etc/init.d/slpd stop 
esxcli network firewall ruleset set -r CIMSLP -e 0 
chkconfig slpd off

Эта команда отключает набор правил брандмауэра для службы CIMSLP на хосте ESXi. «Набор правил сетевого брандмауэра esxcli» — это инструмент командной строки для управления правилами брандмауэра на хосте ESXi. Параметр »-r» указывает имя набора правил брандмауэра, который необходимо изменить, а параметр »-e» устанавливает включенное состояние набора правил. Значение »0» означает, что набор правил брандмауэра отключен, а значение »1» означает, что он включен.

По состоянию на 03.02.2023 версии ESXi 6.x подверглись воздействию вируса CryptoLocker из-за уязвимости, и виртуальные серверы стали непригодными для использования. Для пользователей, которые столкнулись с этим и оказались с зашифрованными файлами vmdk, я расскажу, как восстановить виртуальный сервер. Вирус шифрует небольшие файлы, такие как .vmdk .vmx, но не файл server-flat.vmdk. В структуре ESXi фактические данные хранятся в файле flat.vmdk. Я расскажу, как сделать запасной вариант с помощью flat.vmdk. Прежде всего, когда вы войдете на свой сервер ESXi, вы увидите предупреждение о SSH, подобное этому

68b01d6d7d09143c7822dbcbe2ee2684.png

Теперь перезагрузите ESXi, после загрузки войдите в SSH. Введите папку виртуального сервера, который вы хотите восстановить. Вы вводите datastorexxx с FTP, но его имя меняется на 6094xxx.

dc6ffb4fa3c902471c2bcd83dfc12daf.png

После входа в папку набираем команду ls -la, здесь мы получим размер flat.vmdk. Там написано 64424509440.

P.S. Для машин, в которых есть несколько дисков и/или снапшоты стоит производить подобные действия с файлами .vmdk как и с xxx.vmdk, только с подстановкой необходимых имен.

Теперь удалите существующий файл .vmdk, набрав rm -rf xxx.vmdk 

ПРИМЕЧАНИЕ. Удалите файл xxx.vmdk. Никогда не удаляйте xxx-flat.vmdk.

22fc1badcc40d79794d4a23cd199c24f.png

Затем введите команду vmkfstools -c 64424509440 -d thin temp.vmdk. Обратите внимание, что размер 64424509440 здесь должен быть -flat.vmdk, когда мы делаем ls -la.

24e322383cb1b922a55da44ed80ef1fe.png

Теперь при входе в папку вы увидите temp.vmdk и temp-flat.vmdk.

9af1b52f181a2fba055b27d5e1ff5ba4.png

Откройте temp.vmdk с помощью блокнота, он будет выглядеть так, как показано выше. В строке 9 написано «temp-flat.vmdk». Мы заменим его оригинальным -flat.vdmk. Мое исходное имя flat.vmdk было 185.88.172.17-flat.vmdk, поэтому я редактирую его соответствующим образом. Я также удаляю строку ddb.thinProvisioned = »1» в строке 19. (В моем случае строки были сдвинуты на 1).

cdf5440c7b4e12dd367c41a8e27594eb.png

Я отредактировал строку 9 на »185.88.172.17-flat.vmdk» и удалил строку ddb.thinProvisioned = »1» в строке 19.

8ccea7cffff330f5265440bb1fc4c89f.png

Затем вернитесь на FTP и удалите temp-flat.vmdk. Переименуйте файл temp.vmdk так же, как flat.vmdk. Мое имя flat.vmdk было 185.88.172.17-flat.vmdk. Поэтому я изменил имя файла temp.vmdk на 185.88.172.17.vmdk, поэтому просто удалил строку -flat. Окончательное состояние было следующим

4332f483a35dad2d120ddef258cbafa0.png

Далее мы отредактируем ваш файл .vmx. Поскольку ваш текущий файл .vmx зашифрован, его резервная копия остается как .vmx~. Имя файла на моем FTP — 185.88.172.17.vmx~. Открываю блокнотом, беру все коды и вставляю в оригинальный .vmx (в 185.88.172.17.vmx)

bfa061dd884e6ac390697ced31c6de95.png

Вот как работает внутренний файл xxx.vmx, поэтому я просто взял файл xxx.vmx~, копировал и переименовал в xxx.vmx.

384e398c080f764d233f555b4488210a.png

Затем вернитесь на FTP и удалите файл .vmsd, он зашифрован и поврежден, он вам не нужен.

f97ad3290f966b27da70d2add272e98c.png

Вернитесь к экрану SSH и введите vmkfstools -e xxxx.vmdk Сделайте любое имя .vmdk.

d2f86c88bf432ab0f459e064b84d21de.png

Затем войдите в хранилище данных в ESXi и щелкните правой кнопкой мыши xxx.vmx в папке, которую вы редактировали, и сделайте «Зарегистрировать виртуальную машину». Если виртуальная машина уже существует, сначала щелкните ее правой кнопкой мыши в области «Виртуальные машины» и «Отменить регистрацию», то есть удалите ее из интерфейса ESXi, затем щелкните правой кнопкой мыши файл .vmx и сделайте так, чтобы он зарегистрировал виртуальную машину.

3f63d96556301c1397b330f905bbfac0.png

После регистрации виртуальной машины ваш виртуальный сервер появится в области виртуальных машин ESXi, и вы сможете открыть его и использовать.

a07db43c40dc596edd0de2126ca38eff.png

После завершения этих процессов не забудьте отформатировать ESXi и отключить его. Также обновите свой ESXi с помощью последних доступных исправлений безопасности.

Удалить содержимое файла /etc/motd для того, чтобы при входе на сервер больше не отображалось сообщение о взломе. Вы можете использовать команду 

echo "" > /etc/motd

К сожалению данный мануал не дает 100% гарантии на восстановление (у меня не все машины получилось восстановить), на некоторых слетела система, однако можно поднять новую машину рядом и подключить диск с восстановленной машины к новой и достать свои файлы.

© Habrahabr.ru