Chỉ một tuần sau khi Cơ quan an ninh cơ sở hạ tầng và an ninh mạng (CISA) công bố tập lệnh phục hồi chống lại ransomware nhắm mục tiêu các máy ảo VMWare ESXi, một phiên bản sửa đổi của phần mềm độc hại đã được lưu hành khiến tập lệnh giải mã trở nên vô dụng.

Cho đến nay, khoảng 3,800 máy chủ trên toàn cầu đã trở thành nạn nhân của Mã độc tống tiền EXSiArgs, CISA và FBI cảnh báo.

Các nhà nghiên cứu tại Malwarebytes cho biết: “Trong khi quy trình mã hóa cũ bỏ qua các khối dữ liệu lớn dựa trên kích thước của tệp, quy trình mã hóa mới chỉ bỏ qua các phần nhỏ (1 MB) và sau đó mã hóa 1 MB tiếp theo. báo cáo trên lỗ hổng ESXi. “Điều này đảm bảo rằng tất cả các tệp lớn hơn 128MB đều được mã hóa 50%. Các tệp dưới 128 MB được mã hóa hoàn toàn, đây cũng là trường hợp của biến thể cũ.”

Mục tiêu của phần mềm tống tiền ESXi-Args có thể biết liệu họ có bị nhiễm biến thể mới hay không nếu thông báo đòi tiền chuộc hướng dẫn nạn nhân liên hệ với tác nhân đe dọa thông qua trình nhắn tin được mã hóa TOX, báo cáo cho biết thêm. Lưu ý đòi tiền chuộc từ biến thể ESXiArgs cũ có thể được giảm thiểu bằng bộ giải mã do CISA phát hành bao gồm một địa chỉ Bitcoin.