La revanche d’ESXIargs ? Une nouvelle version du ransomware a émergé. Elle rend la récupération des machines virtuelles plus compliquée.
La routine de chiffrement a effectivement changé par rapport à la version « originale » repérée la semaine passée.
Le mécanisme initial chiffrait complètement les fichiers de moins de 128 Mo. Avec les fichiers plus gros, il chiffrait par blocs de 1 Mo et laissait entre eux un « blanc » calculé la formule suivante : (taille en kilobits/1024/100) -1.
Un tel système ne chiffrait qu’une très petite partie des fichiers. Cela a permis la mise en place de méthodes de récupération des VM. Avec, en point d’orgue, un script publié par l’ANSSI américaine.
La nouvelle version d’ESXiargs « durcit » la routine. Désormais, elle ne laisse que 1 Mo entre les blocs, chiffrant donc 50 % des fichiers. On aura aussi noté la modification de la note de rançon. Il n’y apparaît plus d’adresses Bitcoin (à la place s’affiche des informations de contact sur la messagerie Tox). Probablement pour éviter le suivi des paiements.
Face à cette deuxième vague, mieux vaut donc prévenir que guérir. VMware, l’éditeur d’ESXi, liste trois mesures à mettre en œuvre autant que possible :
– Mettre l’hyperviseur à jour
– Désactiver le point d’entrée d’ESXiargs, à savoir le service SLP
– Isoler les hôtes ESXi du réseau Internet
Photo d’illustration © AndSus- Adobe Stock
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…