|危险!全球未打补丁的VMware ESXi 服务器被勒索组织盯上了( 二 )


修改VMX文件
接下来 , 该脚本将强制结束 (kill -9) 所有包含字符串“ vmx ”的进程 , 从而终止所有正在运行的虚拟机 。 随后将使用“esxcli storage filesystem list | grep \"/vmfs/volumes/\" | awk -F'  ' '{print $2”命令获取 ESXi卷列表 , 搜索与.vmdk、.vmx、.vmxf、.vmsd、.vmsn、.vswp、.vmss、.nvram、.vmem扩展名匹配的文件 。 每找到一个文件 , 脚本将在同一文件夹中创建一个 [file_name
.args 文件 , 其中包含计算出的大小步长、“1”和文件大小 , 例如 , server.vmx 将有一个关联的 server.vmx.args 文件 。 之后 , 脚本将使用'encrypt'可执行文件 , 根据计算出的参数对文件进行加密 。

创建.args文件和加密文件的例程
加密后 , 脚本将用赎金票据替换 ESXi index.html 文件和服务器的 motd 文件 。 最后 , 该脚本将删除似乎安装到/store/packages/vmtools.py[ VirusTotal 
的后门 , 并从以下文件中删除多行:


/var/spool/cron/crontabs/root
/bin/hostd-probe.sh
/etc/vmware/rhttpproxy/endpoints.conf
/etc/rc.local.d/local.sh

清理各种 Linux 配置文件和潜在后门
【|危险!全球未打补丁的VMware ESXi 服务器被勒索组织盯上了】这种清理和对 /store/packages/vmtools.py的应用与瞻博网络(juniper)在 2022 年 12 月观察到的 ESXi 服务器的自定义 Python 后门非常相似  。 为此所有服务器管理员都应该检查此 vmtools.py 文件是否存在 , 以确保它已被删除 。