Skip to content

ONHEXGROUP

اخبار دنیای امنیت سایبری

  • اخبار
    • آسیب پذیری امنیتی
    • آنالیز بدافزار
    • کنفرانس ،دوره ، وبینار ، لایو ، CTF
    • بازیگران تهدید
    • توسعه اکسپلویت
    • افشای اطلاعات
    • باگ بانتی
    • تیم آبی
    • تیم قرمز
    • امنیت وب
  • دوره های آموزشی
    • دوره رایگان مهندسی معکوس نرم افزار
  • لیست های ویژه
    • موتورهای جستجو برای امنیت سایبری
    • کاتالوگ KEV آژانس CISA
    • آسیب پذیری های وردپرس
      • آسیب پذیری پلاگین ها
      • آسیب پذیری های هسته
      • آسیب پذیری تم ها
    • محصولات خارج از پشتیبانی مایکروسافت
      • محصولات مایکروسافتی که در سال 2022 پشتیبانی نمیشن
      • محصولات مایکروسافتی که در سال 2023 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2024 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2025 پشتیبانی نمیشن
    • معرفی فیلم ها و سریالهای مرتبط با هک و امنیت
  • آموزش های ویدیویی
  • انتشارات
    • مجله
    • مقالات
    • پادکست
  • پروژه ها
    • ماشین آسیب پذیر
      • وردپرس آسیب پذیر
  • حمایت مالی ( Donate)
  • تماس با ما
 
  • Home
  • اخبار
  • اخبار
  • بازیگران تهدید

موج دوم حملات باج افزار ESXiArgs با نسخه جدید

On بهمن 19, 1401فروردین 28, 1402
seyyid
Share
زمان مطالعه: 2 دقیقه

باج افزار ESXiArgs که این روزها سر و صدا کرده ، تقریبا با انتشار اسکریپت بازیابی توسط CISA ، متوقف شده بود ، اما بازیگران تهدید پشت این باج افزار با اصلاح نقاط ضعف اون ، یه نسخه جدید رو منتشر کردن.

نسخه جدید بازیابی ماشین های مجازی رو سختتر و تقریبا غیر ممکن میکنه.

 

 

تفاوت بین نسخه جدید و قدیم :

در نسخه قبلی ، اسکریپت encrypt.sh ، دنبال فایلهایی با پسوند زیر میگرده :

 

1
2
3
4
5
6
7
8
9
.vmdk
.vmx
.vmxf
.vmsd
.vmsn
.vswp
.vmss
.nvram
.vmem

 

هر فایلی رو که با این مشخصات پیدا کرد ، سایزش بدست میاره. اگه اندازه اون کمتر از 128 مگابایت بود، کل فایل رو بعد یک مگابایت رمز میکنه.

اما اگه سایزش بزرگتر از 128 مگابایت باشه ، رمزکننده در ابتدا یه مقدار size_step رو  بدست میاره ، بعدش یک مگ رو رمز میکنه و به اندازه size-step میره جلو (رمز نمیکنه) . size_step طبق فرمول زیر بدست میاد :

 

1
size_step=((($size_in_kb/1024/100)-1))

 

طبق فرمول بالا  اگه یه فایل 4.5 گیگابایتی داشته باشیم ، مقدار size-step برابر 45 میشه ، در نتیجه رمزکننده یک مگ رو رمز میکنه و 45 مگ رو رد میکنه. در نتیجه مقدار زیادی از فایل بصورت رمزنشده باقی می مونن.

رو همین موضوع رمز نشدن حجم زیادی از فایلها، محققا یه روشی رو کشف کردن که میشد فایل بازیابی کرد و CISA هم یه اسکریپت براش منتشر کرد.

نسخه دوم این مشکل رو رفع کرده و مقدار زیادی از فایل رو رمز میکنه. در نسخه جدید رمزکننده تغییری نکرده و فقط size-step مقدارش یک شده. یعنی رمز کننده یک مگ رو رمز میکنه و یک مگ رو نه.

شکل زیر تغییر بین نسخه اول و نسخه دوم در مقدار size-step رو نشون میده :

 

esxiargs ver2

 

با این تغییر ساده ، 50 درصد فایلهای بزرگتر از 128 مگابایت ،رمز میشن و غیر قابل بازیابی هستن. اسکریپت و روش های قبلی هم دیگه جواب نمیده.

علاوه بر این تغییر ، متن باج افزار هم تغییر کرده . در متن باج افزار آدرس بیت کوین هم حذف شده که احتمالا برای جلوگیری از رهگیری آدرسها توسط محققینه.

 

esxiargs version 2

 

در موج دوم حملات ، ادمین ها اعلام کردن که SLP  رو غیر فعال کردن و همچنین فایل بکدور vmtool.py رو هم تو سرورهاشون پیدا نکردن. این نشون میده که موج دوم با روش های جدیدتری داره انجام میشه.

 

راهکار موج دوم:

در نهایت اگه دچار این باج افزار شدید ، یه بک آپ از فایلهای الوده بگیرید و با اسکریپت CISA تست کنید، اگه جواب داد که اوکیه اما اگه نه ، شما در موج دوم حملات قرار گرفتید و باید منتظر باشید تا روش رمزگشا معرفی بشه.

 

منبع

 

اشتراک در شبکه های اجتماعی :

Facebook
Twitter
Pinterest
LinkedIn
In اخبار بازیگران تهدیدIn ESXiArgs , باج افزار

راهبری نوشته

کشف آسیب پذیری Path Traversal در Binwalk
شبکه های Tor و I2P زیر حملات DDOS

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دسته‌ها

  • Osint
  • آسیب پذیری امنیتی
  • آموزش های ویدیویی
  • آنالیز بدافزار
  • اخبار
  • افشای اطلاعات
  • امنیت وب
  • انتشارات
  • اینترنت اشیاء
  • بازیگران تهدید
  • باگ بانتی
  • پادکست
  • پروژه ها
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • دوره های آموزشی
  • فازینگ
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
  • لیست های ویژه
  • ماشین آسیب پذیر
  • مجله
  • مقالات
  • مهندسی معکوس نرم افزار

پست های مرتبط

  • آسیب پذیری امنیتی
  • اخبار
seyyid
On دی 23, 1401فروردین 28, 1402

هشدار سیسکو در خصوص CVE-2023-20025 و CVE-2023-20026

  • اخبار
  • بازیگران تهدید
seyyid
On اسفند 4, 1401فروردین 28, 1402

مراقب روش جدید هک تلگرام باشید!

  • اخبار
  • افشای اطلاعات
seyyid
On دی 30, 1401فروردین 28, 1402

نقض داده 37 میلیون کاربر T-Mobile

  • آنالیز بدافزار
  • اخبار
  • بازیگران تهدید
seyyid
On بهمن 15, 1401فروردین 28, 1402

استخراج مونرو در سرور Redis با بدافزار HeadCrab

درباره ما

بعد از چندین سال فعالیت تو حوزه امنیت سایبری و تولید محتوا در شبکه های اجتماعی ، بالاخره تصمیم گرفتیم تا یه سایت راه اندازی کنیم و مطالب رو ساده تر ، در یک محیط منسجم و طبقه بندی شده به دست مخاطب برسونیم. امیدوارم که قدمی در راستای رشد امنیت سایبری کشورمون برداشته باشیم.

تگ ها

0day APT command injection Deserialization of Untrusted Data Directory Traversal FBI Fortinet Heap buffer overflow integer overflow kali LockBit Memory Corruption nuclei Off By One Security out-of-bounds write Out of bounds read Patch Tuesday PWN2OWN Stack Buffer overflow type confusion use after free vulnerable wordpress XSS ZDI vulnerability آموزش اکسپلویت نویسی ارز دیجیتال اندروید اپل اکسپلویت باج افزار تلگرام زیرودی سیسکو فارنزیک فورتی نت فیشینگ لاک بیت مایکروسافت هوش مصنوعی وردپرس وردپرس آسیب پذیر ویندوز پلاگین کروم گوگل

شبکه های اجتماعی

    • Instagram
    • Telegram
    • Twitter
    • GitHub
    • YouTube
    • LinkedIn
      کپی مطالب با ذکر منبع بلامانع است | 1401-1404