新型勒索软件Cheers正攻击VMware ESXi 服务器

据Bleeping Computer网站5月25日消息，新型一种名为“Cheers”的勒索新型勒索软件出现在网络犯罪领域，目标是软件针对易受攻击的 VMware ESXi 服务器 
。

VMware ESXi 是正攻全球大型组织普遍使用的虚拟化平台，因此对其进行加密通常会严重破坏企业的新型运营  。近期已有多个针对 VMware ESXi 平台的勒索勒索软件组，包括 LockBit 和 Hive 。高防服务器软件而Cheers 勒索软件由趋势科技最新发现，正攻并将新变种称为“Cheerscrypt”。新型

当Cheers攻击VMware ESXi 服务器时，勒索会启动加密器，软件它会自动枚举正在运行的正攻虚拟机并使用以下 esxcli 命令将其关闭：

复制esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{ print $3}’)1.

在加密文件时，Cheers会专门寻找具有 .log 、新型.vmdk、勒索.vmem 、软件.vswp 和 .vmsn 扩展名的文件。这些文件扩展名与 ESXi 快照、日志文件 、模板下载交换文件
、页面文件和虚拟磁盘相关联  。每个加密文件都会在其文件名后附加“ .Cheers ”扩展名，但文件重命名发生在加密之前
，所以如果重命名文件的访问权限被拒绝，加密会失败，但文件仍然会被重命名。

加密方案使用一对公钥和私钥来派生一个秘密(SOSEMANUK 流密码)密钥并将其嵌入每个加密文件中。用于生成密钥的私钥被擦除以防止恢复。

Cheers 加密例程

在扫描文件夹以查找要加密的文件时 ，服务器租用勒索软件将在每个文件夹中创建名为“ How To Restore Your Files.txt ”的勒索记录。这些赎金记录包括有关受害者被加密文件情况的信息
、Tor 数据泄露站点和赎金缴纳站点的链接 。每个受害者都有一个唯一的 Tor 站点 ，但数据泄露站点 Onion URL 是静态的。

根据 Bleeping Computer 的研究，建站模板Cheers似乎于 2022 年 3 月开始运作 
，虽然迄今为止只发现了 Linux 勒索软件版本
，但不排除也存在针对Windows系统的变体。

Bleeping Computer 发现了 Cheers的数据泄露和受害者勒索 Onion 网站 ，该网站目前仅列出了四名受害者。但该门户的存在表明 Cheers 在攻击期间执行数据泄露，并将被盗数据用于双重勒索攻击。

Cheer 的数据泄露 Onion 网站

通过观察，这些受害者都是亿华云比较大型的企业组织 ，似乎目前的新型勒索软件组织更青睐于这些“大目标”以满足勒索需求。

根据调查赎金记录，攻击者给受害者三天的时间来登录提供的 Tor 站点以协商赎金支付，从而换取有效的解密密钥。如果受害者不支付赎金
，攻击者表示他们会将被盗数据出售给其他同行，给受害者带来更大威胁和损失
。源码下载

参考来源
：https://www.bleepingcomputer.com/news/security/new-cheers-linux-ransomware-targets-vmware-esxi-servers