Apenas uma semana depois que a Agência de Segurança Cibernética e Infraestrutura (CISA) lançou seu script de recuperação contra ransomware visando as máquinas virtuais VMWare ESXi, já está em circulação uma versão modificada do malware que torna o script do descriptografador inútil.

Até agora, cerca de 3,800 servidores em todo o mundo já foram vítimas de Ransomware EXSiArgs, alertam a CISA e o FBI.

“Onde a antiga rotina de criptografia ignorava grandes blocos de dados com base no tamanho do arquivo, a nova rotina de criptografia apenas pula pequenos pedaços (1 MB) e criptografa o próximo 1 MB”, disseram pesquisadores da Malwarebytes em um novo relatório. Denunciar na vulnerabilidade ESXi. “Isso garante que todos os arquivos maiores que 128 MB sejam criptografados em 50%. Arquivos com menos de 128 MB são totalmente criptografados, o que também acontecia na variante antiga.”

Alvos do ransomware ESXi-Args pode dizer se eles estão infectados com a nova variante se a nota de resgate instruir a vítima a entrar em contato com o agente da ameaça por meio do mensageiro criptografado TOX, acrescentou o relatório. A nota de resgate da antiga variante ESXiArgs que pode ser mitigada pelo descriptografador emitido pela CISA inclui um endereço Bitcoin.