又来了！针对VMware ESXi的新型勒索软件出现

近日，一种名为“Cheers”的新型勒索软件悄然出现在网络犯罪领域。Cheers是一种基于Linux 的勒索软件，主要针对 VMware ESXi平台，目前已有多家使用VMware ESXi平台的用户受到其攻击。

VMware ESXi 是全球企业级用户普遍使用的虚拟化平台，也正因为使用的广泛性，VMware ESXi一直是网络犯罪组织眼中的“香饽饽”，近期已有多个针对VMware的组织大肆活动，包括臭名昭著的LockBit、Hive、RansomEXX等。

Cheers运作流程

当Cheers攻击VMware ESXi服务器时，会启动加密器，自动枚举正在运行的虚拟机并使用以下esxcli命令将其关闭：

esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)

在加密文件时，Cheers会专门寻找带有.log、.vmdk、.vmem、.vswp和.vmsn 扩展名的文件，这些文件扩展名与ESXi 快照、日志文件、交换文件、页面文件和虚拟磁盘相关联，每个被加密文件的后缀名均会被加上“ .Cheers ”，由于文件重命名发生在加密之前，所以如果重命名文件的访问权限被拒绝，加密会失败，但文件仍然会被重命名。

Cheers通过Linux的/dev/urandom所持有的一对ECDH公钥和私钥来获取秘密（SOSEMANUK）密匙并将其嵌入到被加密文件中。由于生成的私钥被擦除，因此只能依赖勒索团伙的私钥才能进行解密。

Cheers加密方式

同时，Cheers会在每个文件夹中创建名为“How To Restore Your Files.txt ”的勒索记录，其中包括受害者被加密文件的详细信息、Tor数据泄露站点和赎金缴纳站点的链接。Cheers用于受害者勒索的Onion网站目前罗列出了四家受害企业，有且仅有三天时间协商赎金支付，否则受害企业数据将会被出售。

虽然迄今为止仅发现了Cheers的Linux勒索软件版本，但不排除也存在针对Windows系统的变体，VMware ESXi用户仍需尽快采取有效的应对措施来防范勒索软件的侵袭。

VMware ESXi用户如何防范勒索软件？

既然难以完全避免勒索软件的攻击，不如采用备份的方式来确保数据安全。云祺拥有针对VMware的虚拟机备份解决方案，可实现VMware云架构平台以及深入到应用系统的全方位数据保护，有效地从备份和恢复上保证用户数据中心的安全。

1、多种功能提升备份效率

采用智能备份策略，完全备份、增量备份、差异备份、永久增量备份四种备份模式，搭配每日、每周、每月、滚动、一次性五种时间策略；同时无需安装任何代理插件即可实现备份，有效降低运维成本；深度有效数据提取与重复数据压缩功能有效节省存储空间；LAN-Free传输模式下提高传输效率，最小化影响生产业务系统。

2、瞬时恢复保证数据安全

云祺提供在秒级时间内恢复备份时间点所对应的VMware虚拟机及其数据，整个过程不对原始备份数据产生任何影响，能够最大限度减少因灾难或故障造成核心业务中断的情况发生，有效保证原始备份数据的安全，同时也为备份数据的验证奠定基础。

3、特有备份防勒索功能

云祺为VMware用户提供备份数据加密保护功能，通过银行级算法对备份数据进行加密处理。同时通过特有的Vinchin Encrypted Backups技术，全周期全方位对备份数据进行监控和保护，当有勒索软件或恶意软件尝试修改备份数据时，将被直接拒绝访问，为用户数据安全再添保障。

Vinchin Encrypted原理介绍

4、异地容灾双重保障

拥有关键业务的备份副本，对于确保在发生备份数据丢失时可以恢复数据至关重要，为实现数据安全的双重保障，云祺建议VMware企业用户做好异地副本。将已经本地备份的数据传输到异地备份系统保存为异地副本，有效地避免本地数据中心整体遭受到灾难时数据整体丢失的情况发生。

在此，云祺建议所有VMware用户尽早将灾备建设提上日程，确保数据安全万无一失，切勿给网络犯罪留可乘之机。

参考来源：https://www.bleepingcomputer.com/news/security/new-cheers-linux-ransomware-targets-vmware-esxi-servers