ESXiargs : le ransomware se fait plus menaçant

Une nouvelle version du ransomware ESXiargs circule. Avec sa routine de chiffrement améliorée, elle complique la récupération des VM.

La revanche d’ESXIargs ? Une nouvelle version du ransomware a émergé. Elle rend la récupération des machines virtuelles plus compliquée.

La routine de chiffrement a effectivement changé par rapport à la version « originale » repérée la semaine passée.

Le mécanisme initial chiffrait complètement les fichiers de moins de 128 Mo. Avec les fichiers plus gros, il chiffrait par blocs de 1 Mo et laissait entre eux un « blanc » calculé la formule suivante : (taille en kilobits/1024/100) -1.

Un tel système ne chiffrait qu’une très petite partie des fichiers. Cela a permis la mise en place de méthodes de récupération des VM. Avec, en point d’orgue, un script publié par l’ANSSI américaine.

La nouvelle version d’ESXiargs « durcit » la routine. Désormais, elle ne laisse que 1 Mo entre les blocs, chiffrant donc 50 % des fichiers. On aura aussi noté la modification de la note de rançon. Il n’y apparaît plus d’adresses Bitcoin (à la place s’affiche des informations de contact sur la messagerie Tox). Probablement pour éviter le suivi des paiements.

Face à cette deuxième vague, mieux vaut donc prévenir que guérir. VMware, l’éditeur d’ESXi, liste trois mesures à mettre en œuvre autant que possible :

– Mettre l’hyperviseur à jour
– Désactiver le point d’entrée d’ESXiargs, à savoir le service SLP
– Isoler les hôtes ESXi du réseau Internet

Lire aussi : Attaque sur ESXi : deux méthodes pour récupérer ses VM