O ransomware em VMware se tornou um dos ataques mais comuns contra empresas. Além disso, ele mira o hipervisor ESXi, onde dezenas de VMs vivem em um único datastore. Neste artigo, você entende o ataque e como recuperar suas máquinas virtuais sem pagar resgate.
Por que o ESXi é um alvo preferido
Atacar o hipervisor é eficiente para o criminoso. Com um único acesso ao ESXi, ele criptografa todas as VMs de uma vez. Dessa forma, o ransomware embaralha os arquivos VMDK, VMX e os snapshots no datastore VMFS.
No entanto, o método rápido do atacante deixa brechas. Como os VMDKs são enormes, o malware costuma criptografar apenas trechos de cada disco. Portanto, boa parte do conteúdo virtual permanece recuperável.
Criptografia parcial: por que ainda há esperança
A pressa do atacante trabalha a seu favor. Em um VMDK de 500 GB, por exemplo, apenas os primeiros blocos podem estar embaralhados. Assim, o sistema de arquivos interno da VM continua praticamente inteiro.
Por isso, a recuperação foca em remontar a VM a partir das áreas preservadas. Além disso, quando há snapshots intactos, as chances aumentam ainda mais.
Não negocie — recupere por engenharia reversa
A Crowdertech não conversa com o atacante em nenhuma hipótese. Em vez disso, aplicamos engenharia reversa para entender o padrão de criptografia. Em seguida, reconstruímos o VMDK e extraímos os dados internos, como bancos e aplicações.
Essa é uma capacidade que pouquíssimas empresas no mundo dominam. De fato, recuperamos VMs que muitos consideram perdidas. E fazemos isso sem pagar resgate e sem negociar com criminosos.
Passo a passo seguro
Para não piorar o caso, siga esta sequência:
- Coloque o host ESXi em modo isolado, fora da rede.
- Não recrie o datastore nem reformate o VMFS.
- Preserve todos os VMDK, VMX e snapshots.
- Acione a recuperação antes de qualquer restauração.
Conclusão
O ransomware em VMware é grave, mas a criptografia parcial abre uma janela real de recuperação. Em resumo, preserve o datastore e evite reconstruções apressadas. Precisa recuperar VMs no ESXi? A Crowdertech reconstrói VMDK por engenharia reversa. Veja também recuperação de máquina virtual VMware.
Fontes: Documentação VMware · No More Ransom.