Cheers’ Linux Ransomware VMware ESXi Hedef Alıyor

‘Cheers’ adlı yeni bir fidye yazılımı VMware ESXi sunucularını hedef almaya başladı. Trend Micro’daki analistleri yeni varyantı ‘Cheerscrypt’ olarak adlandırdı. Bir VMware ESXi sunucusu ele geçirildiğinde, çalışan sanal makineleri otomatik olarak listeleniyor ve aşağıdaki esxcli komutunu kullanarak üzerindeki vm’ler kapatılıyor ve şifrelenmeye başlanıyor.

esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)

Dosyaları şifrelerken özellikle aşağıdaki .log, .vmdk, .vmem, .vswp ve .vmsn uzantılarına sahip dosyaları arıyor. Bu dosya uzantıları, ESXi anlık görüntüleri, günlük dosyaları, takas dosyaları, disk belleği dosyaları ve sanal disklerle ilişkili. Her şifreli dosyanın dosya adına eklenen “ .Cheers ” uzantısı ekleniyor ve garip bir şekilde dosyaların yeniden adlandırılması şifrelemeden önce gerçekleşiyor. Bu nedenle bir dosyayı yeniden adlandırmak için erişim izni reddedilirse, şifreleme başarısız oluyor ancak dosya yine de yeniden adlandırılıyor.

Şifreleme şemasına baktığımızda gizli (SOSEMANUK stream cipher) anahtarı türetmek için bir çift genel ve özel anahtar kullanılıyor ve bunu her şifreli dosyaya gömüyor. Gizli anahtarı oluşturmak için kullanılan özel anahtar, kurtarmayı önlemek için siliniyor.

Şifrelenecek dosyalar için klasörleri tararken, fidye yazılımı her klasörde ‘ Dosyalarınızı Nasıl Geri Yüklersiniz ‘ adlı fidye notları oluşturuyor.

İncelenen fidye notlarına bakıldığında saldırganların kurbanlarına, çalışan bir şifre çözme anahtarı karşılığında fidye ödemesini müzakere etmeleri için bir Tor sitesine erişmeleri için üç gün veriyor. Mağdurlar fidye ödemezlerse,saldırganlar çalınan verileri diğer dolandırıcılara satacaklarını söylüyor.

Kaynak: bleepingcomputer.com

Exit mobile version