سلام امروز سرور ماvmware هک شده و پیغام زیر رو نوشتن و همه ماشینها رو اینکریپت کردن با چندتا از همکارا که تماس گرفتم اوناهم همین بلا دقیق اومده سرشون
دوستان راهی هست ؟


How to Restore Your Files
Security Alert!!!


We hacked your company successfully


All files have been stolen and encrypted by us


If you want to restore files or avoid file leaks, please send 2.01255 bitcoins to the wallet 1KyVbCxRveMPiUpdcVrfjtM3NQvqTWEdSk


If money is received, encryption key will be available on TOX_ID: D6C324719AD0AA50A54E4F8DED8E8220D8698DD67B218B5429 466C40E7F72657C015D86C7E4A


Attention!!!


Send money within 3 days, otherwise we will expose some data and raise the price


Don't try to decrypt important files, it may damage your files


Don't trust who can decrypt, they are liars, no one can decrypt without key file


If you don't send bitcoins, we will notify your customers of the data breach by email and text message


And sell your data to your opponents or criminals, data may be made release


Note


SSH is turned on


Firewall is disabled

نسخه esxi تون تحت وب بوده؟ چون از یک ماشین مجازی به ماشین مجازی دیگه نمیشه اتک زد. تا اونجایی که مطلع هستم. شما نسخه ی esxi تون، یک نسخه ی تحت وب بوده و باش لاگین میکردین؟

- - - Updated - - -

آخرین اسنپ‌شاتی که تهیه کردید برای چه تاریخی بوده؟ من به خط ایرانسل تون با پیش شماره 0939 و چهار رقم آخر 1985 تون تماس گرفتم، ولی خاموش بودید. میتونید بگید که آخرین اسنپ‌شاتی که دارید برای چه تاریخی هستش؟

- - - Updated - - -

مانیتورینگ تحت وبی دارید که بتونید چک کنید، آیا از شبکه ی سرورشما، به مقصد خاصی آپلود رو نشون میده؟ اگر آره ببینید میتونید آدرس آیی‌پی مقصد رو دربیارید و ببینید که ایران بوده آیی‌پیش یا نه؟ چون شما دیگه هیچکاری نمیتونید کنید اما به این شکل اولا مطمعن میشید که دیتاتون، منتقل شده یا نه و اینکه اگر دیتامنتقل شده باشه، این شانس رو دارید که سرور ایران بوده باشه یا خیر؟ از اونجایی که شما نمیتونید این دیتاهارو برگردونید، اگه اسنپ‌شاتی دارید، لطفا بفرمایید که در کجا نگهداری میکنید این اسنپ‌شات هارو؟ بیرون از سروراختصاصی که این اتفاق براش افتاده، اسنپ شات هارو نگهداری میکنید؟

- - - Updated - - -

خیلی سریع با مشتریان‌تون تماس بگیرید و فورا این اتفاق رو بهشون تا زمانی که فرصت پرداخت وجود داره گزارش بدید. شاید یکی از مشتریان، ارزش اطلاعاتش بسیار بالا باشه یا اینکه ممکنه مشتریان‌تون بهتون بگن که بکاپ های جداگونه ای دارن و لیستی از مشتریانی که بکاپ های جداگونه ندارن رو تهیه کنید و ببینید که شما آخرین بکاپی که از اون مشتریان دارید، سالم هستن یا نه.

سلام امروز سرور ماvmware هک شده و پیغام زیر رو نوشتن و همه ماشینها رو اینکریپت کردن با چندتا از همکارا که تماس گرفتم اوناهم همین بلا دقیق اومده سرشون
دوستان راهی هست ؟

سلام
یک هاست یوده یا vcenter?
سرورتون خارج کشور بود؟
بکاپ از ماشین ها دارید؟
چندتا ماشین روی هاست است؟

سرور های ما هم همینطور شده ، vmware های نسخه 6.5 و پایین تر باگ داشته که همه هک شدن ، ظاهرا تعداد بسیار زیاد هست

سرور های ما هم همینطور شده ، vmware های نسخه 6.5 و پایین تر باگ داشته که همه هک شدن ، ظاهرا تعداد بسیار زیاد هست

مهندس سرورها ایران بودن؟

خیر ، فرانسه بودن

متاسفانه بکاپ ندارم نمیشه که از اون همه ماشین بکاپ گرفت

تنها راهکار در حال حاضر ، re-install ورژن 7 و ریستور اطلاعات هست ، البته من سرور را ریست کردن vmware اومد بالا اما تمام ماشین ها کد شده بودن

درود
تنظیمات امنیتی روی ESXi داشتید یا دسترسی ها به ssh و web access و vsphere client و gdbserver باز بوده است؟

دسترسی وب باز بوده اما در بقیه موارد ماشین خاصی نبوده که کسی غیر از خودم دسترسی داشته باشه.

برای کسانی که هنوز esxi هاشون نفوذ نشده موارد زیر برای جلوگیری از نفوذ پیشنهاد میشه
* به روز رسانی به آخرین نسخه esxi ( به دلیل موانع نسل پردازنده حداقل به ورژن 6.7 به روز کنید هر چند گزارشاتی از نفوذ به ورژن 6.7 هم موجود هست)
* بستن دسترسی به آی پی اصلی esxi از طریق سوئیچ اصلی و اجازه به آی پی های خاص
* بستن دسترسی ssh

سلام
این نفوذ یکی دو سرور نیست ظاهرا طیف گسترده ای از سرورها به همین شکل هک شدند یکی از سرورهای ما هم که نسخه6.7 بود نفوذ داشته
دیتاسنتر هم هتزنر بوده
خود هتزنر هم در جریات این مورد هست


Thank you for your request. Unfortunately, given that this is an unmanaged root server, we cannot be much of help here.
But as per feedback of some other affected customers, a reboot of the host made the attackers message disappear. You may try this and afterwards inspect your system for any unauthorized access.

سلام
یه سری از همکارن خوش نام الان سایت های خودشون هم بالا نمیاد!
خدا به خیر کنه این ایتی با این همه فشار و مشکلات اینم مشکل جدید!!

دوتا حفره وجود دارد بکی روی سرویس slp که با غیر فعال کردنش موقت میشه از هک شدن جلوگیری کرد و البته محدود کردن ورود به ایپی خاص در esxi
مورد دوم هست که از طریق لینک (https://kb.vmware.com/s/article/83829) مطالعه فرمایید

سلام سرور ما هم امروز ساعت ۲ هک شده
6.7.0 Update 3 (Build 15160138)
هتزنر

ایمیل چیزی کسی‌ نداره

راه حل جزئی *** دوستان توجه کنید ماشینهایی که هارد کم داشتندظاهرا اینکریپت نشدند و به اخر ادرسmvdk های اونها معمولا یه رشته اضافه شده یه ماشین بسازید و اون هارد رو ادکنیدبا این روش تقریبا نصف ماشینهارو تونستیم برگردونیم برای باقی موارد هم داریم کار میکنیم

راه حل جزئی *** دوستان توجه کنید ماشینهایی که هارد کم داشتندظاهرا اینکریپت نشدند و به اخر ادرسmvdk های اونها معمولا یه رشته اضافه شده یه ماشین بسازید و اون هارد رو ادکنیدبا این روش تقریبا نصف ماشینهارو تونستیم برگردونیم برای باقی موارد هم داریم کار میکنیم

با چی‌ باز کنیم

با چی‌ باز کنیم
سرورتونو ریبوت کنید اون پیغام میره و میتونید وارد سرور بشید

ریبوت کردم کل vpsاینولید شده

روی برخی سرور ها، علاوه بر اینکه فایل هارد ماشین مجازی رمزگذاری شده، امکان ساخت ماشین مجازی جدید هم نیست!
توی مرحلهٔ شناسایی هارد ها ، هاردی رو نمیشناسه.
ظاهرا مشکلات روی هر سروری کمی متفاوته

سرورتونو ریبوت کنید اون پیغام میره و میتونید وارد سرور بشید


ریبوت کردم کل vps invalid شده

https://blog.ovhcloud.com/ransomware-targeting-vmware-esxi/
https://www.resecurity.com/blog/article/nevada-ransomware-waiting-for-the-next-dark-web-jackpot
https://www.vmware.com/security/advisories/VMSA-2022-0030.html

من هنوز هک نشدم
کسی از دوستان می تونه کمک کنه آپدیت کنم به ورژن ۷

الان ۶.۷ هست

طبق آموزش های موجود در یوتیوب رفتم نتیجه نگرفتم و خطا می داد41381

راه حل :

http://enes.dev

پست های موجود در این لینک رو هم تا صفحه اخر بخونین :

https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension

دوستان با کلی کم و زیاد کلیه اطلاعاتمون را برگردوندیم
دوستانی که نتونستند بگن کمکشون کنم
چون نوع خرابی متفاوت است نوع کمک متفاوت خواهد بود

خب بفرمایید که به طور کلی چه کار کردید؟
مشکل ما که برای هر ماشین مجازی عبارت Invalid رو زده بوده و توی Datastore ظاهر همه فایل ها عادی بودند. ولی Encrypt شده بودند. فایل مشکوکی هم نبود.

دوستان با کلی کم و زیاد کلیه اطلاعاتمون را برگردوندیم
دوستانی که نتونستند بگن کمکشون کنم
چون نوع خرابی متفاوت است نوع کمک متفاوت خواهد بود

سلام
لطفا‌ راه ارتباطی بدین
یک سرور داریم و مشکل داریم و دقیقا نمیدونیم باید چی کار کنیم
ممنون
منتظر هستیم

بچه ها لطفا دقت کنید.
این آسیب‌پذیری فقط فایل های کم حجم با پسوند زیر رو انکریپت کرده:



.vmdk .vmx


اما فایلی که دراصل آدرس محل ذخیره ‌سازی دیتاتون داخل هارد بیرون از هایپروایزور هست این فایل هستش و انکریپت نمیشه توسط این آسیب‌پذیری:



server-flat.vmdk

که اصلی ترین فایل هم همین فایله. تا اینجا متوجه شدید که پس حقیقتا وارد ماشین های مجازی نشدن و فایل هاتون رو مستقیما انکریپت نکردن. بلکه با استفاده از یک آسیب‌پذیری، فقط تونستن اون‌دوتا فایل رو انکریپت کنن.

داخل ESXI شما تمام دیتاهاتون داخل این فایل داره ذخیره میشه:



flat.vmdk



با استفاده از لینکی که دوست خوبمون داده که آدرسش این هست:



https://enes.dev/


آموزش مرحله‌ب‌مرحله در مورد اینکه چطوری میتونید از طریق اون‌فایل به دیتاهاتون دسترسی پیدا‌کنید، آموزش داده. انشالله کمک کننده باشه و مشکل‌تون حل شه.

متاسفانه من همچین سرویسی ندارم. لطفا از دوستان اگر کسی این سرویس رو دراختیار داره و این مشکل رو داره، از طریق این آموزش یه ویدیو تهیه کنه و در اختیار بچه ها بشکل رایگان بگذاره.

سلام چندین سرور که بررسی کردیم همه به یک شکل نفوذ داشتن اما دیکریپت کردن فایلها تقریبا یکسان نیست بعضی از ماشینهاو میشه برگردوند با چند روش بعضی هارو واقعا نمیشه کاری کرد در بعضی ماشین ها فایل vms موجود نیست یا گاها کلا کار نمیکنه اون وقط فایل vmdk رو بازیابی کنید و یک ماشین جدید بسازید و هارد رو به ماشین جدید بدید

سلام
لطفا‌ راه ارتباطی بدین
یک سرور داریم و مشکل داریم و دقیقا نمیدونیم باید چی کار کنیم
ممنون
منتظر هستیم

سلام
تلگرام
@dparsaee
09179059350

سلام
تلگرام
@dparsaee
09179059350

درود خدمت همه بزرگواران،
از آخرین فعالیت بنده در این انجمن سالها گذشته. اما دیشب که سرور بنده هم دچار این اختلال شد و جناب پارسایی زحمت کشیدند حل کردند، این تاپیک رو دنبال میکردم.
برای همین جایز ندیدم که از ایشون سپاسگزاری ویژه ای نکنم بابت تمام زحماتشون که باعث شدن این موضوع حل بشه و تمام اطلاعات ما برگردد.
سپاسگزارم از ایشون

درود خدمت همه بزرگواران،
از آخرین فعالیت بنده در این انجمن سالها گذشته. اما دیشب که سرور بنده هم دچار این اختلال شد و جناب پارسایی زحمت کشیدند حل کردند، این تاپیک رو دنبال میکردم.
برای همین جایز ندیدم که از ایشون سپاسگزاری ویژه ای نکنم بابت تمام زحماتشون که باعث شدن این موضوع حل بشه و تمام اطلاعات ما برگردد.
سپاسگزارم از ایشون
سلام، واقعا خیلی ممنون از جناب پارسایی؛ من یه چند تا سایت خبری و فروشگاهی اینا داشتم که از دیروز بخاطر همین هک شدن از کار افتاده بودند که نمی دونستم چیکار کنم فکر کردم زحمت چند سالم بر باد رفته.... ولی خدا رو شکر جناب پارسایی این مشکل رو حل کردن...واقعا دمتون گرم... B-)

دوستان لطفا اگر در مورد این وضعیت اطلاعاتی ندارید به سرورهای مجازی دست نزنید .
وضع بسیار وحشتناک تر از اون چیزی هست که می شه فکر کرد

با سلام و احترام
سپاس از آقا پارسای گل که کمک کردن و مشکل ما را حل کردن
دوستان لطفا هر روشی را بدون دانش کافی انجام ندین و لطفا سعی کنید از دوستانی ماهرتر کمک بگیرید تا مشکلتون حل بشه

آقا این بلا سر من اومد هرچی داشتم و نداشتم پاک شد. خداروشکر خداروشکر بک آپ داشتم.

پس برای بقیه ام اتفاق افتاده

آیا کسانی که هک شدند آخرین پچ امنیتی vmware را نصب کرده بودند ؟ پچ 202210001

خیر همه نسخه هایی که هک شدن به روز نبوده اند
هر چه نسخه هم پایینتر بوده ضربات بیشتری خورده
در برخی نسخه ها پایینتر وقتی می خوای از فایل vmdk استفاده کنی حتی فایل فلت کامل حذف یا دسترسی صفر می شه

یه آموزش دیدم توی اینترنت اگر اشتباه نکنم ایران سرور بود
با اون آموزش فقط می شه 70 درصد را نجات داد
فقط خواهش می کنم الکی دست نزنید چون ممکنه اطلاعات بپره

سلام و احترام.

طبق تجربه در این 3-4 روز اخیر و بازگردوندن تقریباً 15 سرور و 100ها ماشین، در 95% ماشین ها برمیگردن خیلی نگران نباشید.

سلام
پورت427 رو از روی سوییچ مسدود کنید
امکان هک بسیار کاهش پیدا میکنه

اگر هک نشدید یا ماشین های هک نشده دارید در اولین اقدام سرویس SLP رو غیر قعال کنید
با غیر فعال کردن این سرویس قابلیت پایش وضعیت سخت افزاری سرور مثل وضعیت هارد ها و کنترلر ها و یا دما رو از طریق esxi از دست خواهید داد
با برداشتن تیک پورت مربوط به CIM SLP که ۴۲۷ هست پورت روی فایروال بشته شده و daemon مربوطه هم استاپ میشه

By default, daemons will start automatically when any of their ports are opened, and stop when all of their ports are closed.


سه دستور زیر هم از طریق کنسول سرور یا اتصال به SSH قابل اجرا هت
توقف سرویس


/etc/init.d/slpd stop
غیر فعال کردن در فایروال


esxcli network firewall ruleset set -r CIMSLP -e 0
جلوگیری از اجرای سرویس در ریبوت


chkconfig slpd off


اگر ماشین های هک شده دارید ممکنه بخشی یا تمام دیتا قابل بازیابی باشه
بهترین کار این هست که ابتدا esxi رو نصب تمیز کنید و بعد پتچ کنید و بعد شروع بع بازیابی کنید که مطین بشید در این فرایند مرکز کنترل امکان دسترسی به سرور رو از دست داده باشه

ارادتمند
صالحی

- - - Updated - - -


من هنوز هک نشدم
کسی از دوستان می تونه کمک کنه آپدیت کنم به ورژن ۷

الان ۶.۷ هست

طبق آموزش های موجود در یوتیوب رفتم نتیجه نگرفتم و خطا می داد41381

هر سخت افزاری رو نمیتونید به ۷ ارتقا بدید
بهتره همون ۶.۷ رو پج کنید و بروز نگه دارید و جلوگیری های رایج رو اعمال کنید