新型勒索软件Cheers正攻击VMware ESXi 服务器

据Bleeping Computer网站5月25日消息，新型一种名为“Cheers”的勒索新型勒索软件出现在网络犯罪领域 ，目标是软件针对易受攻击的 VMware ESXi 服务器。

VMware ESXi 是正攻全球大型组织普遍使用的虚拟化平台，因此对其进行加密通常会严重破坏企业的新型运营。近期已有多个针对 VMware ESXi 平台的勒索勒索软件组 ，包括 LockBit 和 Hive
。免费模板软件而Cheers 勒索软件由趋势科技最新发现 ，正攻并将新变种称为“Cheerscrypt”。新型

当Cheers攻击VMware ESXi 服务器时，勒索会启动加密器
，软件它会自动枚举正在运行的正攻虚拟机并使用以下 esxcli 命令将其关闭 ：

在加密文件时，Cheers会专门寻找具有 .log、新型.vmdk、勒索.vmem 、软件.vswp 和 .vmsn 扩展名的文件
。这些文件扩展名与 ESXi 快照 、日志文件  、源码下载交换文件、页面文件和虚拟磁盘相关联 。每个加密文件都会在其文件名后附加“ .Cheers ”扩展名 ，但文件重命名发生在加密之前，所以如果重命名文件的访问权限被拒绝，加密会失败 ，但文件仍然会被重命名 。

加密方案使用一对公钥和私钥来派生一个秘密(SOSEMANUK 流密码)密钥并将其嵌入每个加密文件中。用于生成密钥的私钥被擦除以防止恢复  。

Cheers 加密例程

在扫描文件夹以查找要加密的文件时
 ，建站模板勒索软件将在每个文件夹中创建名为“ How To Restore Your Files.txt ”的勒索记录。这些赎金记录包括有关受害者被加密文件情况的信息 、Tor 数据泄露站点和赎金缴纳站点的链接 。每个受害者都有一个唯一的 Tor 站点
，但数据泄露站点 Onion URL 是静态的。

根据 Bleeping Computer 的研究 ，源码库Cheers似乎于 2022 年 3 月开始运作 ，虽然迄今为止只发现了 Linux 勒索软件版本，但不排除也存在针对Windows系统的变体。

Bleeping Computer 发现了 Cheers的数据泄露和受害者勒索 Onion 网站，该网站目前仅列出了四名受害者 。但该门户的存在表明 Cheers 在攻击期间执行数据泄露，并将被盗数据用于双重勒索攻击 
。

Cheer 的数据泄露 Onion 网站

通过观察，这些受害者都是香港云服务器比较大型的企业组织 ，似乎目前的新型勒索软件组织更青睐于这些“大目标”以满足勒索需求 。

根据调查赎金记录 ，攻击者给受害者三天的时间来登录提供的 Tor 站点以协商赎金支付，从而换取有效的解密密钥 。如果受害者不支付赎金 ，攻击者表示他们会将被盗数据出售给其他同行，给受害者带来更大威胁和损失。模板下载

参考来源：https://www.bleepingcomputer.com/news/security/new-cheers-linux-ransomware-targets-vmware-esxi-servers

最新评论