La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de los Estados Unidos ha publicado un script de recuperación de máquinas virtuales VMware ESXi bloqueadas por el ransomware ESXiArgs.
El ransomware ESXiArgs cifra los archivos de configuración en servidores VMware ESXi sin parches, dejando inutilizables las máquinas virtuales. Se aprovecha de una vulnerabilidad de ejecución remota de código en el servicio OpenSLP.
CISA recomienda a las organizaciones afectadas por ESXiArgs que evalúen la secuencia de comandos y la orientación proporcionadas en el archivo LÉAME del script de recuperación para determinar si es adecuado para intentar recuperar el acceso a los archivos en su entorno.
Las organizaciones afectadas por ESXiArgs pueden acceder al script de recuperación aquí: https://github.com/cisagov/ESXiArgs-Recover.
Es recomendable que a los servidores aún vulnerables les sea aplicado el parche de seguridad y, a su vez, deben ser escaneados para buscar signos de compromiso.