第二波ESXiArgs勒索病毒攻击：针对VMware ESXi服务器的最新威胁

重点概述

• 第二波攻击 ：针对VMware ESXi服务器的ESXiArgs勒索病毒再次来袭，采用了升级版的加密流程。
• 加密方法变化 ：攻击者修改了加密器，取消了“size_step”例程，使得数据加密更加复杂。
• 数据恢复困难 ：新加密方法导致文件恢复的传统手段失效，尤其是超过128MB的文件，造成一半数据被加密。
• 支付隐私性 ：新的勒索信中不再包含比特币地址，可能是为了避免被追踪。
• 安全隐患 ：尚不清楚为何新版本的勒索病毒能够突破已经禁用SLP的VMware ESXi服务器。

根据的报道，组织的VMwareESXi服务器正面临第二波，攻击者在加密过程中进行了更新，这可能使数据加密的能力更加强大。根据安全专家MichaelGillespie的分析，攻击者已修改加密器，去除了encrypt.sh脚本中的“size_step”例程，令其设置为1，使得每隔1MB的数据可被加密，而跳过1 MB的数据。

加密过程的修改

这种改变导致文件中超过128 MB的部分，将有一半的数据被加密，这意味着原本有效的文件恢复技术已无效。表格如下所示：

此外，新的ESXiArgs勒索病毒攻击在勒索信中也不再包含比特币地址，这可能是操作方为了尽量避免被识别和追踪所做的策略调整。尽管如此，仍然存在对新ESXiArgs勒索病毒样本如何能够突破已禁用SLP的VMwareESXi服务器的疑惑。

结论

随着第二波ESXiArgs勒索病毒攻击的到来，企业应加强对VMwareESXi服务器的安全防范措施。重要的是及时更新系统和监控异常活动，以降低受攻击的风险。有关这一新型勒索病毒的最新动态，请关注安全专家的研究和更新。