La revanche d’ESXIargs ? Une nouvelle version du ransomware a émergé. Elle rend la récupération des machines virtuelles plus compliquée.
La routine de chiffrement a effectivement changé par rapport à la version « originale » repérée la semaine passée.
Le mécanisme initial chiffrait complètement les fichiers de moins de 128 Mo. Avec les fichiers plus gros, il chiffrait par blocs de 1 Mo et laissait entre eux un « blanc » calculé la formule suivante : (taille en kilobits/1024/100) -1.
Un tel système ne chiffrait qu’une très petite partie des fichiers. Cela a permis la mise en place de méthodes de récupération des VM. Avec, en point d’orgue, un script publié par l’ANSSI américaine.
La nouvelle version d’ESXiargs « durcit » la routine. Désormais, elle ne laisse que 1 Mo entre les blocs, chiffrant donc 50 % des fichiers. On aura aussi noté la modification de la note de rançon. Il n’y apparaît plus d’adresses Bitcoin (à la place s’affiche des informations de contact sur la messagerie Tox). Probablement pour éviter le suivi des paiements.
Face à cette deuxième vague, mieux vaut donc prévenir que guérir. VMware, l’éditeur d’ESXi, liste trois mesures à mettre en œuvre autant que possible :
– Mettre l’hyperviseur à jour
– Désactiver le point d’entrée d’ESXiargs, à savoir le service SLP
– Isoler les hôtes ESXi du réseau Internet
Photo d’illustration © AndSus- Adobe Stock
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…