Как удалить Esxi Ransomware и расшифровать файлы .ESXiArgs или .args

Что такое программа-вымогатель Esxi

Esxi (ESXiArgs) Ransomware это вредоносная инфекция, которая нацелена на организации, используя уязвимости в VMware ESXi – инструмент виртуальной машины, используемый для управления и оптимизации различных процессов в организациях. Отчеты о безопасности показывают, что киберпреступники используют известные уязвимости в VMware ESXi для получения доступа к серверам и развертывания программы-вымогателя ESXiArgs в целевой системе. После этого вирус начнет искать файлы, расположенные на виртуальной машине, со следующими расширениями: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem. Для каждого зашифрованного файла программа-вымогатель также создаст отдельный файл с .ESXiArgs or .args расширение с метаданными внутри (вероятно, необходимое для будущей расшифровки).

Обратите внимание, что существует две версии программы-вымогателя ESXiArgs с разными методами шифрования: Первая и самая ранняя волна программы-вымогателя ESXiArgs определяла метод шифрования в зависимости от размера хранимого файла. Если размер файла был меньше 128 МБ, вирус полностью запускал шифрование. Однако в случае больших файлов программа-вымогатель должна была пропустить большое количество мегабайт/гигабайт файла, оставив зашифрованными лишь небольшие его фрагменты. Благодаря этой уязвимости самого вируса был разработан метод восстановления, и CISA (Агентство по кибербезопасности и безопасности инфраструктуры) опубликовало скрипт ESXiArgs-Recovery на GitHub, чтобы помочь жертвам программ-вымогателей в процессе восстановления. Если вам «посчастливилось» заразиться самой ранней версией ESXi Ransomware, вы можете использовать это официальное руководство CISA чтобы получить помощь в использовании вышеупомянутого скрипта для восстановления ваших файлов.

К сожалению, жертвы второй волны программ-вымогателей ESXiArgs с меньшей вероятностью смогут восстановить свои данные с помощью этого метода. Киберпреступники изменили шаблон шифрования, который больше не имеет той же уязвимости. Определить, какой версией вы заражены, можно по записке с требованием выкупа, где вымогатели требуют деньги от жертв за восстановление файлов. Имена заявленных файлов с требованием выкупа могут Как восстановить файлы Files.html, выкуп.htmlи т. д. В последней версии злоумышленники убрали публичное раскрытие своего BTC-кошелька, на который предполагается заплатить выкуп. По сравнению с самым первым вариантом, киберпреступники теперь будут отправлять его жертвам только после установления с ними контакта.

Если вы не собираетесь сотрудничать с вымогателями, удаление программ-вымогателей имеет решающее значение, чтобы не позволить им зашифровать другие файлы или распространиться по соседним сетям во время ручного восстановления. Кроме того, также важно удалить его даже после расшифровки файлов с помощью киберпреступников, если вы решите пойти по этому пути. Следуйте инструкциям в нашем руководстве ниже, чтобы удалить программы-вымогатели и защитить свою систему от подобных угроз в будущем.

Чтобы снова не стать жертвой ESXiArgs, CISA и ФБР рекомендуют всем организациям временно отключить подключение для связанных серверов ESXi, включая обновление серверов ESXi до последней версии программного обеспечения VMware ESXi, усиление защиты гипервизоров ESXi путем отключения службы Service Location Protocol (SLP)качества обеспечение того, чтобы гипервизор ESXi не был настроен для доступа к общедоступному Интернету.

старый вариант

новый вариант

Общая информация о заражении программами-вымогателями

В большинстве других заражений программами-вымогателями киберпреступники — единственные фигуры, способные полностью расшифровать данные пользователей. Ситуация с одной из версий ESXiArgs — счастливое исключение, и такие исключения случаются не так часто. В тех случаях, когда данные невозможно восстановить с помощью сторонних инструментов, единственным способом сделать это является либо сотрудничество с киберпреступниками, либо восстановление файлов из отдельных резервных копий. Резервные копии — это копии данных, хранящиеся на внешних устройствах хранения (например, флэш-накопителях USB, внешних жестких дисках, твердотельных накопителях, облаках и т. д.).

Всегда лучше использовать собственную резервную копию, так как некоторые злоумышленники обманывают своих жертв и не отправляют обещанные инструменты расшифровки даже после оплаты. Регулярное резервное копирование имеет решающее значение для обеспечения возможности восстановления данных в случае неожиданной потери или атаки программ-вымогателей. Ниже вы также увидите некоторые сторонние инструменты расшифровки, которые иногда могут быть полезны при восстановлении/расшифровке файлов, зашифрованных другими атаками программ-вымогателей.

Как Esxi Ransomware заразил ваш компьютер

Как уже упоминалось, эта программа-вымогатель использует определенные уязвимости в программном обеспечении виртуальных машин, часто используемом корпоративными пользователями. Однако, помимо этого, существует множество других методов распространения, которые злоумышленники используют для доставки различного рода вредоносных программ: фишинговые письма по электронной почте, незащищенная конфигурация RDP, зараженные установщики программного обеспечения (пиратские или взломанные), трояны, поддельные обновления. инструменты для взлома лицензий, ненадежная реклама, бэкдоры, кейлоггеры и другие сомнительные каналы.

Основная цель многих каналов распространения — заставить пользователей взаимодействовать с вредоносным файлом или ссылкой. Эта стратегия обычно используется в мошеннических электронных письмах, где киберпреступники маскируют вредоносные вложения под подлинные файлы (.DOCX, .XLSX, .PDF, .EXE, .ZIP, .RAR или .JS). Эти электронные письма часто имитируют законные и заслуживающие доверия организации, такие как компании по доставке, налоговые органы, банки и т. д., чтобы повысить вероятность того, что неопытные пользователи будут обмануты и захотят перейти по вредоносным ссылкам или загрузить вредоносное ПО.

Всегда относитесь к потенциально опасному контенту с особой осторожностью и осторожностью. Избегайте взаимодействия с сомнительными источниками загрузки, веб-сайтами для обмена торрентами, подозрительной рекламой, потенциально вредоносными вложениями/ссылками и другим контентом, который может быть потенциально скомпрометирован. Загружайте программное обеспечение только с официальных ресурсов, чтобы предотвратить скрытую установку вредоносных программ. Прочтите наше руководство ниже, чтобы узнать, как бороться с вредоносным ПО и защитить себя от него.

1. Скачать Программа-вымогатель Esxi инструмент для удаления
2. Получить инструмент дешифрования для .args файлов
3. Восстановить зашифрованные файлы с помощью Stellar Data Recovery Professional
4. Восстановить зашифрованные файлы с помощью Предыдущие версии Windows
5. Восстановить файлы с помощью Shadow Explorer
6. Как защититься от таких угроз, как Программа-вымогатель Esxi

Файлы программы-вымогателя Esxi:


encrypt
encrypt.sh
public.pem
motd
index.html
How to Restore Your Files.html
ransom.html


Ключи реестра Esxi Ransomware:

no information

Как расшифровать и восстановить файлы .args

Используйте автоматические дешифраторы

Скачать Kaspersky RakhniDecryptor

Используйте следующий инструмент от Kaspersky под названием Rakhni Decryptor, который может расшифровывать файлы .args. Загрузите его здесь:

Нет смысла платить выкуп, так как нет никакой гарантии, что вы получите ключ, плюс вы подвергнете риску свои банковские данные.

Dr.Web Rescue Pack

Известный производитель антивирусов Dr.Web предоставляет бесплатную услугу дешифрования для владельцев своих продуктов: Dr.Web Security Space или Dr.Web Enterprise Security Suite. Другие пользователи могут обратиться за помощью в расшифровке .args файлов, загрузив образцы в Службу дешифрования программ-вымогателей Dr.Web. Анализ файлов будет производиться бесплатно, и если файлы поддаются расшифровке, все, что вам нужно сделать, это приобрести двухлетнюю лицензию на Dr.Web Security Space стоимостью 2 долларов или меньше. Таким образом вам не придется платить выкуп.

Если вы заражены Esxi Ransomware и удалены с вашего компьютера, вы можете попытаться расшифровать свои файлы. Поставщики антивирусов и частные лица создают бесплатные расшифровщики для некоторых криптоблокировщиков. Чтобы попытаться расшифровать их вручную, вы можете сделать следующее:

Используйте Stellar Data Recovery Professional для восстановления файлов .args

1. Скачать Stellar Data Recovery Professional.
2. Нажмите Recover Data .
3. Выберите тип файлов, которые хотите восстановить, и нажмите на Следующая .
4. Выберите место, откуда хотите восстановить файлы, и нажмите Сканировать .
5. Просмотрите найденные файлы, выберите те, которые хотите восстановить, и нажмите Recover.

Использование опции предыдущих версий файлов в Windows:

1. Щелкните на зараженный файл правой кнопкой мыши и выберите Объекты.
2. Выберите Предыдущие версии меню.
3. Выберите конкретную версию файла и нажмите Копировать.
4. Чтобы восстановить выбранный файл и заменить существующий, нажмите на Восстановить .
5. Если в списке нет элементов, выберите альтернативный метод.

Использование Shadow Explorer:

1. Скачать Shadow Explorer программу.
2. Запустите ее, и вы увидите на экране список всех дисков и даты создания теневых копий.
3. Выберите диск и дату, с которой вы хотите восстановить.
4. Щелкните правой кнопкой мыши на имя папки и выберите Экспортировать.
5. Если в списке нет других дат, выберите альтернативный метод.

Если вы используете Dropbox:

1. Войдите на сайт DropBox и перейдите в папку, содержащую зашифрованные файлы.
2. Щелкните правой кнопкой мыши на зашифрованный файл и выберите Предыдущие версии.
3. Выберите версию файла, которую хотите восстановить, и нажмите на Восстановить .

Как защитить компьютер от вирусов, таких как Esxi Ransomware, в будущем

1. Получите специальное программное обеспечение для защиты от программ-вымогателей.

Используйте ZoneAlarm Anti-Ransomware

Панель инструментов ZoneAlarm Anti-Ransomware

Уведомление ZoneAlarm Anti-Ransomware

ZoneAlarm Anti-Ransomware Успешная Блокировка

Известный антивирусный бренд ZoneAlarm от Check Point выпустил комплексный инструмент, который поможет с активной защитой от программ-вымогателей. Он также будет отличным дополнением к вашей текущей защите. Инструмент обеспечивает мгновенную защиту от программ-вымогателей и позволяет восстанавливать файлы. ZoneAlarm Anti-Ransomware работает со всеми другими антивирусами, брандмауэрами и антивирусным ПО, кроме продуктов ZoneAlarm Extreme (поскольку в нем уже встроен ZoneAlarm Anti-Ransomware) или Check Point Endpoint . Убойные функции этой программы: автоматическое восстановление файлов, защита от перезаписи, которая мгновенно и автоматически восстанавливает любые зашифрованные файлы, а также блокирует даже неизвестные вирусы-шифровальщики.

2. Создайте резервную копию файлов.

В качестве дополнительного способа сохранения ваших файлов мы рекомендуем онлайн-резервное копирование. Локальные хранилища, такие как жесткие диски, твердотельные накопители, флэш-накопители или удаленные сетевые хранилища, могут быть мгновенно заражены вирусом после подключения или подключения. Esxi Ransomware использует некоторые методы, чтобы использовать это. Один из лучших сервисов и программ для удобного автоматического онлайн-бэкапа — это IDrive. У него самые выгодные условия и простой интерфейс. Вы можете узнать больше об облачном резервном копировании и хранилище iDrive здесь.

3. Не открывайте спам-сообщения и защищайте свой почтовый ящик.

Вредоносные вложения в спам или фишинговые сообщения электронной почты - самый популярный способ распространения программ-вымогателей. Использование спам-фильтров и создание правил защиты от спама - является хорошей практикой. MailWasher Pro - один из мировых лидеров в области защиты от спама. Он работает с различными настольными приложениями и обеспечивает очень высокий уровень защиты от спама.