VMware ESXi 服务器面临 Cheers 加密勒索病毒攻击

关键要点

• 新的 Cheers 加密勒索病毒正在针对脆弱的 VMware ESXi 服务器进行攻击。
• 攻击者会启动加密程序，进行虚拟机枚举，并使用 esxcli 命令关闭服务器。
• 受影响文件的扩展名包括 .vmdk、.log、.vmsn、.vswp 和 .vmem，之后会被加密并添加 .Cheers 扩展名。
• 攻击者设定三天期限，让受害者在 Tor 网站上进行赎金谈判，未支付的话会出售被盗数据。

根据
的报道，新出现的 Cheers 或 Cheerscrypt 勒索病毒正在影响脆弱的 VMware ESXi 服务器。趋势科技的研究人员发现，受损的
VMware ESXi 服务器将在启动后运行加密程序，并自动进行虚拟机枚举，随后会通过 esxcli命令关闭服务器。根据报告，.vmdk、.log、.vmsn、.vswp 和 .vmem 等扩展名的文件会被加密，并附加 .Cheers 扩展名。同时，在
Cheers 勒索病毒寻找可加密文件期间，也会生成赎金通知。BleepingComputer 透露，已经有四个中型企业在其数据泄露和受害者勒索的 Onion网站上被列为受影响的目标。

攻击者已观察到，他们提供三天的时间让受害者通过提供的 Tor
网站进行赎金谈判。如果受害者拒绝支付赎金，威胁者将会出售被盗数据，并将该数据发布在泄漏门户上，如果未能成功出售。

文件扩展名 | 加密状态
—|—
.vmdk | 已加密
.log | 已加密
.vmsn | 已加密
.vswp | 已加密
.vmem | 已加密

结论

通过这一系列的攻击行为，企业需要加强对 VMware ESXi服务器的安全防护措施，确保及时更新安全补丁，预防潜在的勒索病毒攻击。在这种情况下，保持数据的定期备份是保护自身信息安全的关键。同时，建议关注网络安全动态，了解新出现的勒索病毒威胁。