受VMware ESXI服务器ESXiArgs勒索软件影响的组织可以使用自动脚本进行恢复。

美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)联合发布了一份警告，称正在进行的ESXiArgs勒索软件活动针对的是虚拟机(vm)的未打补丁和已停用或过期版本的VMware ESXi hypervisor。

根据CISA的数据，全球有3800个VMware ESXi服务器被入侵，可能导致在ESXi服务器上运行的虚拟机无法使用。

VMware本周警告企业将ESXi服务器更新到受支持的hypervisor版本。该公司还指出，攻击利用了之前披露的漏洞，并在12月提供了一种在VMware ESXi上禁用服务位置协议(SLP)的解决方案。这些补丁于2021年发布，解决了CVE-2021-21974跟踪的严重错误，该错误影响了ESXi中的SLP组件。

法国计算机应急响应小组(CERT)建议各组织隔离受影响的服务器，重新安装受支持的ESXi 7.X或ESXi 8.X版本，并应用任何补丁。

CISA和FBI鼓励拥有VMware ESXi服务器的用户将其更新到最新版本的ESXi，通过禁用SLP服务来加强ESXi管理程序，并确保ESXi管理程序不暴露在公共互联网上。

CISA在其GitHub帐户上发布了恢复脚本，解释了它如何通过从未被恶意软件加密的虚拟磁盘重构虚拟机元数据来工作。

据报道，勒索软件会加密受感染服务器上的.vmdk，.vmx，.vmxf，.vmsd，.vmsn，.vswp，.vmss，.nvram和.vmem文件。它会导致虚拟机不可用，因为它会加密与虚拟机相连的配置文件。但是该脚本可以通过使用未加密的平面文件进行恢复。

CISA意识到，一些组织已经报告成功地在不支付赎金的情况下恢复了文件。剧本是基于公开可用的资源和Enes Sonmez和Ahmet Aykac的教程。

不过，CISA警告说，组织在部署脚本之前需要检查脚本是否适合他们的环境。CISA对在恢复过程中损坏的机器不承担任何责任。

该脚本不寻求删除加密的配置文件，而是寻求创建新的配置文件，以允许访问虚拟机。虽然CISA致力于确保这样的脚本是安全有效的，但此脚本在交付时没有任何保证，无论是隐式的还是显式的。在不了解该脚本对系统的影响之前，请不要使用该脚本。