CISA mengetahui bahwa beberapa organisasi telah melaporkan keberhasilan memulihkan file tanpa membayar uang tebusan. CISA menyusun alat ini berdasarkan sumber daya yang tersedia untuk umum, termasuk tutorial oleh Enes Sonmez dan Ahmet Aykac. Alat ini bekerja dengan merekonstruksi metadata mesin virtual dari disk virtual yang tidak dienkripsi oleh malware ransomware, sehingga data dapat dipulihkan dengan mudah. Alat ini juga mencakup panduan tentang proses memulihkan file. Ini juga menyediakan tutorial tentang cara menggunakan alat ini dan cara melindungi organisasi dari serangan ransomware di masa depan.
Skrip ESXiArgs CISA didasarkan pada temuan yang diterbitkan oleh peneliti pihak ketiga yang disebutkan di atas. Tujuan utama dari Skrip ESXiArgs CISA adalah mengidentifikasi konfigurasi ESXi yang tidak aman. Skrip ini mengecek berbagai opsi ESXi untuk memastikan bahwa semua konfigurasi telah disetel dengan benar. Skrip ini juga dapat mendeteksi konfigurasi yang tidak standar dan dapat memerlukan perbaikan. Selain itu, Skrip ESXiArgs CISA juga dapat digunakan untuk memeriksa konfigurasi yang berbeda dari ESXi untuk memastikan bahwa semua pengaturan yang diperlukan telah diterapkan dengan benar. Skrip ini juga dapat digunakan untuk menganalisis keamanan ESXi dan memberikan laporan yang akan membantu organisasi untuk memahami konfigurasi yang aman dan mengidentifikasi potensi kerentanan. Skrip ini disediakan “sebagaimana adanya” hanya untuk tujuan informasi. CISA tidak mendukung produk atau layanan komersial apa pun, termasuk subjek analisis apa pun.
- Unduh skrip ini dan simpan sebagai /tmp/recover.sh. Misalnya, dengan wget: wget -O /tmp/recover.sh https://raw.githubusercontent.com/cisagov/ESXiArgs-Recover/main/recover.sh
- Berikan izin eksekusi skrip: chmod +x /tmp/recover.sh
- Arahkan ke folder mesin virtual yang ingin Anda dekripsi (Anda dapat menjelajahi folder ini dengan menjalankan ls /vmfs/volumes/datastore1), jika folder tersebut bernama example, jalankan cd /vmfs/volumes/datastore1/example
- Jalankan 1s untuk melihat file. Catat nama VMnya (misal jika ada file example.vmdk nama VM-nya adalah contoh).
- Jalankan skrip pemulihan dengan /tmp/recover.sh [nama], di mana [nama] adalah nama mesin virtual yang ditentukan pada langkah 4. Jika mesin virtual berformat tipis, jalankan /tmp/recover.sh [nama] thin.
- Jika berhasil, skrip decryptor akan menampilkan bahwa itu telah berhasil dijalankan. Jika tidak berhasil, ini mungkin berarti mesin virtual Anda tidak dapat dipulihkan.
- Jika skrip berhasil, langkah terakhir adalah mendaftar ulang mesin virtual.
- Jika antarmuka web ESXi tidak dapat diakses, lakukan langkah-langkah berikut untuk menghapus catatan tebusan dan memulihkan akses (perhatikan bahwa mengambil langkah-langkah di bawah ini akan memindahkan catatan tebusan ke file ransom.html. Pertimbangkan untuk mengarsipkan file ini untuk tinjauan insiden di masa mendatang).
+ Jalankan cd /usr/lib/vmware/hostd/docroot/ui/ & mv index.html ransom.html & mv index1.html index.html
+Jalankan cd /usr/lib/vmware/hostd/docroot & mv index.html ransom.html & rm index.html & mv index1.html index.html
+ Nyalakan ulang server ESXi (mis., dengan perintah reboot). Setelah beberapa menit, Anda akan dapat menavigasi ke antarmuka web. - Di antarmuka web ESXi, navigasikan ke halaman Mesin Virtual.
- Jika VM yang Anda pulihkan sudah ada, klik kanan pada VM dan pilih “Batalkan Pendaftaran”.
- Pilih “ create / Register VM“.
- Pilih ” Register mesin virtual yang ada”.
- Klik “Pilih satu atau lebih mesin virtual, penyimpanan data, atau direktori” untuk menavigasi ke folder VM yang Anda pulihkan. Pilih file vmx di folder.
- Pilih “Selanjutnya” dan “Selesai”. Anda sekarang seharusnya dapat menggunakan VM seperti biasa. Jika diperlukan, skrip akan menyimpan file terenkripsi di folder file terenkripsi baru di dalam setiap direktori mesin virtual.
