Ransomware-Attacke: CISA veröffentlicht Wiederherstellungsskript für VMware ESXi

Die US-amerikanische Cyber-Sicherheitsbehörde CISA hat ein Wiederherstellungsskript bereitgestellt, mit dem betroffene Server gerettet werden könnten.

In Pocket speichern vorlesen Druckansicht 22 Kommentare lesen
Server,Racks,In,Server,Room,Data,Center.,3d,Render

(Bild: Sashkin/Shutterstock.com)

Lesezeit: 2 Min.
Von

Für bei den Ransomware-Angriffen vom Wochenende verschlüsselte Server hat die US-amerikanische Cyber-Sicherheitsbehörde CISA jetzt ein Wiederherstellungsskript veröffentlicht. Es soll helfen, betroffene Maschinen wieder startklar zu machen. Jedoch kann es nicht in allen Fällen helfen.

Das CISA-Skript steht auf GitHub im Projekt ESXiArgs-Recover bereit. Es handelt sich bei recover.sh um ein Unix-Shell-Skript. Die CISA betont, dass sie zur Erstellung des Skripts auf Informationen zugegriffen hat, die öffentlich verfügbar sind. Namentlich setzt es eine Anleitung von Enes Sonmez und Ahmet Aykac um.

Das Skript sucht nach temporären Kopien von virtuellen Maschinen und deren Konfigurationsdateien, die VMware als Backup anlegt. Diese werden oftmals nicht mit verschlüsselt, sodass sich die nötigen Daten daraus wiederherstellen lassen. Verschlüsselte VMs kopiert das Skript in einen Unterordner encrypted_files. Es lassen sich jedoch nicht alle VMs derart wiederherstellen.

Auf der GitHub-Seite steht auch eine Anleitung bereit, wie Betroffene das Skript herunterladen, die korrekten Rechte dafür vergeben und es schließlich nutzen können. Auch wenn sich nicht alle VMs so wiederherstellen lassen, kann das Skript möglicherweise einen Totalverlust der virtuellen Maschinen abwenden. Denn es bleibt wichtig zu beachten, dass die Zahlung des erpressten Lösegelds keine gangbare Option sein kann.

Am Sonntag des vergangenen Wochenendes warnte die italienische Cyber-Sicherheitsbehörde ACN vor weltweiten Ransomware-Angriffen. Später präzisierte sie, dass eine alte Sicherheitslücke in VMware ESXi angegriffen wurde, für die seit Februar 2021 ein Patch zum Abdichten bereitsteht. Die Cyber-Attacken haben daher den Namen "ESXiArgs-Ransomware-Attacken" vom Hersteller VMware erhalten. Auch die oberste deutsche IT-Sicherheitsbehörde, das Bundesamt für Sicherheit in der Informationstechnik (BSI), warnte daraufhin, dass hunderte Systeme in Deutschland betroffen seien.

(dmk)