CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs

Татьяна Никитина 08 Февраля 2023 - 17:43
...
CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs

Умельцы из американского Агентства кибербезопасности (CISA) создали скрипт для восстановления виртуальных машин VMware ESXi, зашифрованных вымогателем ESXiArgs. Новый инструмент, помогающий вернуть файлы .vmdk и .vmx, уже доступен на GitHub.

Волна агрессивных атак ESXiArgs накрыла непропатченные серверы ESXi в минувший уикенд. В настоящее время количество заражений превышает 3000.

По словам CISA, выпущенный декриптор создан на основе данных из открытых источников, в том числе руководства, опубликованного участниками турецкой YoreGroup (на «Хабре» есть перевод). Последние установили, что новоявленному зловреду не удается зашифровать плоские файлы с данными виртуального диска (flat.vmdk), и разработали метод восстановления ВМ, использующий ошибку вирусописателей.

Публикация YoreGroup помогла многим форумчанам BleepingComputer, хотя некоторым процесс показался слишком сложным. Декриптор CISA автоматизирует восстановление файлов и способен облегчить задачу тем, кто решил обойтись без выкупа.

Админам настоятельно советуют вначале проверить recover.sh на предмет появления проблем в конкретном окружении — разработчики сняли с себя всю ответственность за последствия использования их детища. Рекомендуется также на всякий случай создать бэкап. После успешной отработки скрипта нужно будет вернуть доступ к виртуальной машине — повторно зарегистрировать ее в VMware ESXi.

Вчера стало известно, что экспертам удалось обезвредить еще одного шифровальщика-новобранца — Cl0p для Linux. К сожалению, такие победы недолговечны: узнав о своем промахе, злоумышленники быстро закрывают лазейку, лишающую их прибыли.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Создан PoC для дыры в W3 Total Cache, под угрозой 1 млн WordPress-сайтов
Татьяна Никитина 25 Ноября 2025 - 13:42
ЭксплойтыУязвимости сайтов Домашние пользователиМалый и средний бизнес
Создан PoC для дыры в W3 Total Cache, под угрозой 1 млн WordPress-сайтов

Специалисты по пентесту из германской компании RCE Security выложили в паблик PoC-эксплойт к недавно пропатченной критической уязвимости в W3 Total Cache. Администраторам сайтов рекомендуется как можно скорее обновить WordPress-плагин.

Проблема, зарегистрированная как CVE-2025-9501, позволяет без аутентификации выполнить вредоносный код в системе через инъекцию PHP-команд и перехватить контроль над сайтом. В настоящее время в интернете активны более 1 млн экземпляров W3 Total Cache.

Согласно бюллетеню WPScan, данная уязвимость возникла из-за некорректной реализации функции _parse_dynamic_mfunc, обеспечивающей выполнение кода, включенного в комментарии на кешированных страницах.

Эксплойт возможен лишь при определенных условиях. Тем не менее степень опасности уязвимости была оценена в 9 баллов по шкале CVSS — как критическая.

По словам авторов PoC-кода, для успешной атаки на целевом сайте должны отсутствовать ограничения на публикацию комментариев.

 

Авторам атаки также потребуется значение константы W3TC_DYNAMIC_SECURITY из файла wp-config.php. Дефолтное mycode или легко угадываемая комбинация значительно облегчат задачу злоумышленникам.

Наконец, в W3 Total Cache должно быть включено кеширование страниц, по умолчанию деактивированное.

 

Необходимые для эксплойта условия значительно сокращают вероятность атаки, однако в случае успеха злоумышленники смогут захватить контроль над сайтом и украсть конфиденциальные данные, установить бэкдор либо совершить иные вредоносные действия.

Спасительный патч был включен в состав сборки 2.8.13 (текущая версия плагина — 2.8.14). В качестве временной защиты эксперты советуют отключить кеширование страниц, ограничить возможность комментированная, оставив эту привилегию лишь авторизованным юзерам, а также удостовериться в надежности W3TC_DYNAMIC_SECURITY.

В уходящем году российские ИБ-эксперты зафиксировали рост числа атак на WordPress-сайты через подмену содержимого автоматически загружаемых плагинов (must-use). Подобный трюк позволяет злоумышленникам перенаправлять посетителей сайтов на другие ресурсы, устанавливать бэкдоры и внедрять вредоносный JavaScript-код, отрабатывающий в браузере.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Мошенники рассылают видео с вредоносом для кражи денег из онлайн-банков
Новость
Мошенники рассылают видео с вредоносом для кражи денег из он...
Мошенник обманул пенсионерку под видом астронавта
Новость
Мошенник обманул пенсионерку под видом астронавта
Тверской суд Москвы арестовал фигуранта по делу Userbox
Новость
Тверской суд Москвы арестовал фигуранта по делу Userbox

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.