【预警】以全球 VMware ESXi 服务器为目标的ESXiArgs 勒索软件已到达战�。。。�





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于黄金城 用户退出 合作商登录 用户登录 申请试用

数据黄金城官网


数据库保险箱数据黄金城官网分类分级平台数据黄金城官网综合评估系统新一代数据黄金城官网一体化平台
存储域
数据库加密诺亚防勒索
访问域
数据库防水坝数据库防火墙数据库黄金城官网审计动态脱敏
流动域
静态脱敏数据水印 API审计 API防控医疗防统方
运行黄金城官网


新一代灾备一体化平台灾备一键通数据库运行黄金城官网管理平台
数据流动


数据流动平台静态脱敏数据水印
黄金城官网运维服务



运维服务
数据库运维服务中间件运维服务国产信创改造服务驻场运维服务供数服务
黄金城官网咨询服务
数据出境黄金城官网治理服务数据黄金城官网能力评估认证服务数据黄金城官网风险评估服务数据黄金城官网治理咨询服务数据分类分级咨询服务个人信息风险评估服务数据黄金城官网检查服务

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯黄金城官网研究

热门阅读

上海市密码管理局发布《重要网络和信息系统密评工作指南2026版》

2026-04-20

4·15国家黄金城官网教育日｜以《数据黄金城官网法》为纲，筑牢数字时代黄金城官网屏障

2026-04-14

医疗机构注意！五部门联发新规：商用密码、分类分级成为数据保护关键词

2026-04-09

用AI重新定义数据黄金城官网监测，让数据黄金城官网变简单

2026-03-17

金融机构数据黄金城官网能力体系建设与落地实践

2026-02-27

相关文章

每周黄金城官网速递??? | 密西西比大学医学中心在遭受勒索软件攻击后恢复正常运营

2026-03-09

每周黄金城官网速递??? | LockBit5.0版本支持Windows、Linux与ESXi平台

2026-03-09

每周黄金城官网速递??? | Osiris勒索软件利用BYOVD技术禁用黄金城官网工具

2026-02-02

每周黄金城官网速递??? | DeadLock勒索软件团伙利用Polygon智能合约存储代理服务器地址

2026-01-19

每周黄金城官网速递??? | 勒索软件攻击导致心理健康机构超11万人数据泄露

2026-01-06

【预警】以全球 VMware ESXi 服务器为目标的ESXiArgs 勒索软件已到达战场�。。�

发布时间：2023-02-10 阅读次数： 951 次

概况

近日，黄金城黄金城官网实验室根据勒索病毒威胁情报，发现了一款针对 VMware ESXi 服务器的新型勒索软件（ESXiArgs）正在全球范围内大规模传播。该勒索软件于今年2月开始大规模出现。攻击者利用两年前未经修补的 RCE 漏洞 CVE-2021-21974 将恶意文件传输至 ESXi 导致 OpenSLP 服务中的堆溢出，从而获得交互式访问，借以部署新的 ESXiArgs 勒索病毒。

漏洞利用

CVE-2021-21974漏洞与 OpenSLP 相关，攻击者在可访问427端口的条件下，构造恶意的SLP请求触发OpenSLP服务中的堆溢出，从而导致远程执行代码。

国内存在该漏洞影响的服务器数量如下所示（基于shodan统计数据）：

版本	数量统计
ESXi 6.5	715
ESXi 6.7	3184
ESXi 7.0	1271
ESXi 6.0.0	665
ESXi 5.0.0	342

恶意文件分析

ESXiArgs勒索软件在受感染的 ESXi 服务器上使用.vmxf、.vmx、.vmdk、.vmsd 和 .nvram 扩展名加密文件，并为每个包含元数据（可能需要解密）的加密文档创建一个.args文件。

虽然这次攻击背后的威胁行为者声称窃取了数据，但一名受害者在 BleepingComputer 论坛上报告说，他们的事件并非如此。

受害者还在锁定的系统上发现了名为“ransom.html”和“How to Restore Your Files.html”的赎金票据，指示受害者通过 TOX_ID与攻击者取得联系，以恢复加密文件或防止数据被泄露。

解决方案

1.勒索风险自查

1)检查/store/packages/目录下是否存在vmtools.py后门文件。如果存在，建议立即删除该文件。

2)检查/tmp/目录下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文件，如果存在，应及时删除。

2.勒索处置建议

1)立即隔离受感染的服务器，进行断网

2)使用数据恢复工具恢复数据或重装ESXi

美国CISA发布了 ESXiArgs 勒索软件恢复脚本，相关链接如下：

https://github.com/cisagov/ESXiArgs-Recover

3)重复“勒索风险自查”步骤

4)恢复修改后的部分文件

查看/usr/lib/vmware目录下的index.html文件是否为勒索信，如果是，立即删除该文件。
看/etc/目录下是否存在motd文件，如果存在，立即删除。

3.漏洞加固

在 ESXi 中禁用 OpenSLP 服务，或者升级至 ESXi 7.0 U2c 或 ESXi 8.0 GA，ESXi 7.0 U2c或 ESXi 8.0 GA 版本默认情况下禁用该服务。

4.数据备份

针对重要的数据进行双机备份或云备份。

5.安装黄金城诺亚防勒索

黄金城通过对大量勒索病毒的分析，基于零信任、守白知黑原则，创造性地研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下，可防护任何已知或未知的勒索病毒。

鉴于勒索病毒的无差别广谱特征，诺亚防勒索支持将已知病毒库导入，可先匹配，内置病毒诱捕功能，精确识别勒索病毒的入侵和告警。【诺亚防勒索系统】已支持查杀拦截此次事件使用的ESXiArgs 勒索软件。

文档防勒索

针对员工PC、服务器的文档进行防护，如：核心机密文档、日常办公文档、高价值文件、各类隐私文档。

数据库防勒索

针对Oracle、Sql Server、Mysql、DB2、DM、人大金仓、达梦、优炫等主流数据库、国产数据库，指定数据库类型或添加数据库可执行程序，允许只有数据库本身才能对数据文件进行修改等操作。

哑终端防勒索

针对广泛使用哑终端的关键性行业，如银行的ATM机、加油站自助机、医院自助查询机等。在堡垒模式下，任何新的软件都无法运行，勒索软件运行失败，从而无法破坏文件。

上一条：黄金城科技发布《2023年1月勒索病毒威胁报告》
下一条：【漏洞通告】 Jira Service Management Server 和 Data Center 身份认证绕过漏洞

返回

快速入口

免费试用售后服务客户案例文档中心年度培训
热门产品

新一代灾备一体化平台数据流动平台数据库运行黄金城官网管理平台新一代数据黄金城官网一体化平台数据黄金城官网治理咨询服务数据分类分级咨询服务
解决方案

政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案
合作发展

渠道政策合作申请渠道专区
关于黄金城

关于我们大事记最新动态加入我们联系我们

关注或联系黄金城

官方订阅号

官方服务号

第59号

服务热线：400-811-3777

商务合作：marketing@mchz.com.cn

友情链接中央网信办公安部工信部 CNCERT 中国信通院中国软件测评中心国家工业信息黄金城官网发展研究中心赛迪研究院

Copyright ? 2024 杭州黄金城科技股份有限公司 All rights reserved.

浙公网安备 33010502006954号浙ICP备12021012号-1 网站地图网站声明及隐私保护政策

免费试用

服务热线

马上咨询

400-811-3777



【网站地图】【sitemap】