VMware虛擬機系統也被勒索病毒盯上了

 

3月15日，有VMware Vsphere用戶發博稱，他們的大量虛擬機被惡意關閉，並且處於無法連接狀態，導致用戶生產環境停線嚴重事故。經排查，他們的虛擬機被勒索病毒攻擊，花了一整天的時間，才將業務恢復了80%左右。這件事引起了行業人士的廣泛關注。

                                                                          

博主描述此次事件表現為：

1、VMware vSphere集群僅有vCenter處於正常狀態。

2、同時企業中Windows桌面PC，筆記本大量出現被加密情況。

 

這意味着虛擬機系統也被勒索病毒盯上了。

 

VMware vSphere部分：

瀏覽ESXI Datastore發現，虛擬機磁盤文件.vmdk、虛擬機描述文件.vmx被重命名。手動打開.vmx文件，發現.vmx文件被加密。另外VMware vm-support 日志收集包中，也有了勒索軟件生成的說明文件。

 

 

Windows部分：

1、Windows客戶端出現出現文件被加密情況，加密程度不一，某些用戶文件全盤加密，某些用戶部分文件被加密。

2、Windows系統日志被清理，無法溯源。（客戶端均安裝有企業防病毒軟件，但並未起到防護作用。）

 

這次病毒感染了VMware虛擬機+Windows，一般情況下，勒索病毒很難做到跨操作系統的感染，例如臭名昭著的WannaCry，針對 Windows系統的漏洞可以加密，但是遇到虛擬機操作系統時就失效了。

 

隨着計算機虛擬化的發展，公有雲及私有雲等數據中心采用虛擬化的部署方式已成為趨勢，而其中VMware vSphere虛擬化平台市場占有率最大，自然成為了勒索病毒攻擊的重點。

 

從此次事件可以看出，勒索病毒已經開始瞄上了VMware vSphere用戶，或許它們正在偷偷前行，等待合適時機進行大規模進攻。這並非是危言聳聽，最近針對VMware vSphere系統漏洞的攻擊發生在今年2月，勒索軟件團隊通過 “RansomExx” 病毒，利用VMWare ESXi產品中的漏洞（CVE-2019-5544、CVE-2020-3992），對虛擬硬盤的文件進行加密。

 

RansomExx被發現（來源：Kaspersky）

 

“RansomExx” 病毒早在去年 10 月就被發現非法入侵企業的網絡設備，並攻擊本地的ESXi 實例，進而加密其虛擬硬盤中的文件。由於該實例用於存儲來自多個虛擬機的數據，因此對企業造成了巨大的破壞。

 

根據已有VMware勒索事件發現，黑客利用VMware ESXi管理程序漏洞對虛擬機進行加密。Carbon Spider和Sprite Spider這兩個團伙專門攻擊ESXi虛擬機管理程序，發動大規模的勒索病毒活動（又叫大型目標狩獵，BGH）。

 

他們通過vCenter Web登錄信息攻擊ESXi系統，可控制多個ESXi設備的集中式服務器，連接到vCenter后，黑客使SSH能夠對ESXi設備進行持久訪問，並更改root密碼或主機的SSH密鑰，與此同時植入Darkside勒索病毒，達成目的。

 

上個月底VMware也發布了一份安全公告，對其虛擬化產品中的三個高危漏洞打上了補丁，這包括ESXi裸機虛擬機管理程序中的堆緩沖區溢出漏洞，以及vCenter Server的底層操作系統漏洞。VMware用戶請提高警惕...

 

此次事件的博主提到了他們的處理方式：

 

一是針對 VMware vSphere 被感染的虛擬機文件：

1、得益於客戶現有存儲每天執行過快照，VMware vSphere虛擬化主機全部重建后，通過存儲LUN快照創建新的LUN掛載給ESXI，進行手動虛擬機注冊。然后啟動虛擬機逐步驗證數據丟失情況、恢復業務。

2、用戶有數據備份環境，部分存儲於本地磁盤的VMware 虛擬機，由於無法通過快照的方式還原，通過虛擬機整機還原。

3、對於沒有快照、沒有備份的虛擬機，只能選擇放棄。后續重構該虛擬機。

4、對現有虛擬化環境進行了升級。

 

二是針對Windows被感染的文件：

1、對於Windows客戶端進行斷網處理，並快速搶救式備份數據。

2、開啟防病毒軟件的防勒索功能。

 

從事件解決方式可以看出來：數據災備才是最有效的安全保障。那么，如何對虛擬機進行備份，以及針對關鍵虛擬機進行容災？

 

1、海量虛擬機環境用戶

采用雲祺VMware vSphere無代理備份，為用戶日常運維成本降低幾十甚至數百倍。

2、降低RPO實現容災

雲祺容災可恢復至被勒索病毒感染的前一刻，最小備份恢復力度可達毫秒級，RPO值越低越能減少用戶損失。

3、靈活備份業務數據

靈活的備份模式和時間備份策略，在勒索病毒來臨前，按需設置備份任務，確保擁有有效備份數據。

4、本地異地雙重保護

雲祺可幫助用戶建設異地容災系統，即使本地業務系統因勒索病毒導致業務暫時中斷，也可在異地拉起業務，實現業務接管。

5、數據歸檔三重保護

雲祺將用戶重要備份數據本地歸檔或者雲歸檔，有效地管理數據，實現數據的長期保存，即使異地備份系統同時被攻擊，也有PLAN C。

6、Windows同步備份

為Windows用戶同步提供操作系統、數據庫、文件等數據的容災備份，有效應對“Double Kill”的勒索病毒攻擊。

 

雲祺已為全球160萬+台虛擬機提供保護，其中VMware用戶約占70%，提供成熟穩定的VMware虛擬機備份與恢復解決方案。

 

我們做出了一些勒索病毒的反思和建議：

 

1、數據備份非常重要，建議有多份備份數據，存儲於不同介質或區域，備份往往是災難發生后的唯一救命稻草。

2、存儲級別的冗余也很有必要，比如存儲的快照，復制，克隆等技術，這些技術在備份和還原上非常的迅速，利於快速恢復業務。

3、關注廠商的安全公告，及時對現有環境中的軟硬件環境進行升級。

 

而這次勒索病毒針對VMware vSphere的攻擊，實際上是黑客團隊推開了針對虛擬機攻擊的大門。這次事件也在提醒我們，重要數據必須備份。