هک شدن برخس اط سرورهای اختصاصی vmware

[dellserver]

سلام امروز سرور ماvmware هک شده و پیغام زیر رو نوشتن و همه ماشینها رو اینکریپت کردن با چندتا از همکارا که تماس گرفتم اوناهم همین بلا دقیق اومده سرشون
دوستان راهی هست ؟

How to Restore Your Files
Security Alert!!!


We hacked your company successfully


All files have been stolen and encrypted by us


If you want to restore files or avoid file leaks, please send 2.01255 bitcoins to the wallet 1KyVbCxRveMPiUpdcVrfjtM3NQvqTWEdSk


If money is received, encryption key will be available on TOX_ID: D6C324719AD0AA50A54E4F8DED8E8220D8698DD67B218B5429 466C40E7F72657C015D86C7E4A


Attention!!!


Send money within 3 days, otherwise we will expose some data and raise the price


Don't try to decrypt important files, it may damage your files


Don't trust who can decrypt, they are liars, no one can decrypt without key file


If you don't send bitcoins, we will notify your customers of the data breach by email and text message


And sell your data to your opponents or criminals, data may be made release


Note


SSH is turned on


Firewall is disabled

[demonvictor]

نسخه esxi تون تحت وب بوده؟ چون از یک ماشین مجازی به ماشین مجازی دیگه نمیشه اتک زد. تا اونجایی که مطلع هستم. شما نسخه ی esxi تون، یک نسخه ی تحت وب بوده و باش لاگین میکردین؟

- - - Updated - - -

آخرین اسنپ‌شاتی که تهیه کردید برای چه تاریخی بوده؟ من به خط ایرانسل تون با پیش شماره 0939 و چهار رقم آخر 1985 تون تماس گرفتم، ولی خاموش بودید. میتونید بگید که آخرین اسنپ‌شاتی که دارید برای چه تاریخی هستش؟

- - - Updated - - -

مانیتورینگ تحت وبی دارید که بتونید چک کنید، آیا از شبکه ی سرورشما، به مقصد خاصی آپلود رو نشون میده؟ اگر آره ببینید میتونید آدرس آیی‌پی مقصد رو دربیارید و ببینید که ایران بوده آیی‌پیش یا نه؟ چون شما دیگه هیچکاری نمیتونید کنید اما به این شکل اولا مطمعن میشید که دیتاتون، منتقل شده یا نه و اینکه اگر دیتامنتقل شده باشه، این شانس رو دارید که سرور ایران بوده باشه یا خیر؟ از اونجایی که شما نمیتونید این دیتاهارو برگردونید، اگه اسنپ‌شاتی دارید، لطفا بفرمایید که در کجا نگهداری میکنید این اسنپ‌شات هارو؟ بیرون از سروراختصاصی که این اتفاق براش افتاده، اسنپ شات هارو نگهداری میکنید؟

- - - Updated - - -

خیلی سریع با مشتریان‌تون تماس بگیرید و فورا این اتفاق رو بهشون تا زمانی که فرصت پرداخت وجود داره گزارش بدید. شاید یکی از مشتریان، ارزش اطلاعاتش بسیار بالا باشه یا اینکه ممکنه مشتریان‌تون بهتون بگن که بکاپ های جداگونه ای دارن و لیستی از مشتریانی که بکاپ های جداگونه ندارن رو تهیه کنید و ببینید که شما آخرین بکاپی که از اون مشتریان دارید، سالم هستن یا نه.

[tm.fard]

سلام امروز سرور ماvmware هک شده و پیغام زیر رو نوشتن و همه ماشینها رو اینکریپت کردن با چندتا از همکارا که تماس گرفتم اوناهم همین بلا دقیق اومده سرشون
دوستان راهی هست ؟

سلام
یک هاست یوده یا vcenter?
سرورتون خارج کشور بود؟
بکاپ از ماشین ها دارید؟
چندتا ماشین روی هاست است؟

[RayanPartoCo]

سرور های ما هم همینطور شده ، vmware های نسخه 6.5 و پایین تر باگ داشته که همه هک شدن ، ظاهرا تعداد بسیار زیاد هست

[tm.fard]

سرور های ما هم همینطور شده ، vmware های نسخه 6.5 و پایین تر باگ داشته که همه هک شدن ، ظاهرا تعداد بسیار زیاد هست

مهندس سرورها ایران بودن؟

[RayanPartoCo]

خیر ، فرانسه بودن

[dellserver]

متاسفانه بکاپ ندارم نمیشه که از اون همه ماشین بکاپ گرفت

[RayanPartoCo]

تنها راهکار در حال حاضر ، re-install ورژن 7 و ریستور اطلاعات هست ، البته من سرور را ریست کردن vmware اومد بالا اما تمام ماشین ها کد شده بودن

[da6276]

درود
تنظیمات امنیتی روی ESXi داشتید یا دسترسی ها به ssh و web access و vsphere client و gdbserver باز بوده است؟

[RayanPartoCo]

دسترسی وب باز بوده اما در بقیه موارد ماشین خاصی نبوده که کسی غیر از خودم دسترسی داشته باشه.