{"id":7333,"date":"2023-04-01T19:46:56","date_gmt":"2023-04-01T18:46:56","guid":{"rendered":"https:\/\/www.kevinmaschke.com\/?p=7333"},"modified":"2025-12-02T01:24:42","modified_gmt":"2025-12-02T01:24:42","slug":"esxiargs-ransomware-2023-wiederherstellen","status":"publish","type":"post","link":"https:\/\/www.kevinmaschke.com\/de\/esxiargs-ransomware-2023-wiederherstellen\/","title":{"rendered":"ESXiArgs Ransomware (2023) &#8211; How-To &#8211; VMs ohne Snapshots wiederherstellen"},"content":{"rendered":"\n<p>Letzten Februar wurden <strong>Tausende von ESXi-Servern von einem neuen Ransomware-Angriff (&#8222;ESXiARGS&#8220;) betroffen<\/strong>, der die Server \u00fcber eine Sicherheitsl\u00fccke (<a href=\"https:\/\/www.vmware.com\/security\/advisories\/VMSA-2021-0002.html\" target=\"_blank\" rel=\"noopener\">CVE-2021-21972, CVE-2021-21973 und CVE-2021-21974<\/a>) angriff, welche durch einen Puffer\u00fcberlauf im OpenSLP-Dienst verursacht wurde. Bei den betroffenen Systemen handelt es sich offenbar um ESXi-Hypervisoren in der Version 6.x und vor 6.7.<\/p>\n\n\n\n<p>In diesem Artikel zeigen wir die Schritte zur Wiederherstellung von VMs, die <strong>KEINE Snapshots<\/strong> (<code>-delta<\/code> oder <code>-sesparse<\/code> Dateien) haben, sondern nur eine <code>flat<\/code> VMDK-Datei. Zum jetzigen Zeitpunkt scheint es noch kein erfolgreiches Verfahren zu geben, mit dem alle VMs oder deren Daten wiederhergestellt werden k\u00f6nnen, wenn diese Snapshot-Dateien (<code>-delta<\/code>) hatten. Einige Leute scheinen es geschafft zu haben, VMs wiederherzustellen, die <code>-sesparse<\/code> Snapshots hatten.<\/p>\n\n\n\n<p>Ich gehe davon aus, dass du den Angriff bereits gestoppt hast und die Kontrolle \u00fcber deinen ESXi-Hypervisor wiedererlangt hast, und konzentriere mich nur auf die Wiederherstellung der virtuellen Maschinen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Grundvoraussetzungen<\/h2>\n\n\n\n<p class=\"has-luminous-vivid-amber-background-color has-background\" style=\"font-style:normal;font-weight:300\"><strong>Disclaimer<\/strong><br>Diese Schritte haben bei manchen Leuten funktioniert, aber nicht bei allen. Die Erfolgswahrscheinlichkeit h\u00e4ngt davon ab, wie viel von deiner VM-Festplatte verschl\u00fcsselt wurde, was wiederum davon abh\u00e4ngt, wie lange das Verschl\u00fcsselungsskript lief und\/oder ob es fehlgeschlagen ist.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Backup<\/h3>\n\n\n\n<p>Als allererstes solltest du ein Backup der VM-Dateien erstellen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Entweder du erstellst eine Kopie des Ordners der VM, oder<\/li>\n\n\n\n<li>du erstellst einen Backup-Ordner innerhalb des VM-Ordners und kopierst alle Dateien darin.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Unn\u00f6tige Dateien l\u00f6schen<\/h3>\n\n\n\n<p>Die folgenden Dateien sind f\u00fcr diesen Prozess nicht notwendig und k\u00f6nnen sicher gel\u00f6scht werden. F\u00fcr den Fall der F\u00e4lle solltest du trotzdem eine Kopie aller Dateien in dem Backup haben, das du bereits gemacht hast.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>.args<\/li>\n\n\n\n<li>.vmxf<\/li>\n\n\n\n<li>.vmsd<\/li>\n\n\n\n<li>.vmsn<\/li>\n\n\n\n<li>.vmem<\/li>\n\n\n\n<li>.nvram<\/li>\n\n\n\n<li>.vmx &#8211; wird aus der <code>.vmx~<\/code> Datei wiederherstellt.<\/li>\n<\/ul>\n\n\n\n<p>Du kannst diese entfernen und die <code>vmx<\/code> Datei mit dem folgenden Befehl wiederherstellen:<\/p>\n\n\n\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"bash\" data-enlighter-theme=\"\" data-enlighter-highlight=\"\" data-enlighter-linenumbers=\"\" data-enlighter-lineoffset=\"\" data-enlighter-title=\"\" data-enlighter-group=\"\">[root@esxihost:]$ mv VMNAME.vmx~ VMNAME.vmx\n[root@esxihost:]$ rm *.args *.vmfx *.vmsd *.vmsn *.vmem *.nvram<\/pre>\n\n\n\n<p>Der Ordner sollte jetzt ein bisschen sauberer aussehen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">ESXiArgs &#8211; VM-Wiederherstellung<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Erstelle eine neue VMDK-Datei<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Notiere dir die Originalgr\u00f6\u00dfe der <code>-flat<\/code> Datei mit dem Befehl <code>ls -la<\/code>:<\/li>\n<\/ol>\n\n\n\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"bash\" data-enlighter-theme=\"\" data-enlighter-highlight=\"\" data-enlighter-linenumbers=\"\" data-enlighter-lineoffset=\"\" data-enlighter-title=\"\" data-enlighter-group=\"\">[root@esxihost:]$ ls -la\ntotal 92925984\ndrwxr-xr-x    1 root     root          1120 Feb 26 18:01 .\ndrwxr-xr-t    1 root     root          2100 Feb  4 15:56 ..\ndrwxr-xr-x    1 root     root          3500 Feb 20 16:31 BKUP\n-rw-------    1 root     root  107374182912 Feb  3 10:18 VMNAME-flat.vmdk\n-rw-------    1 root     root          1045 Feb  3 10:18 VMNAME.vmdk\n-rwx------    1 root     root          3449 Dec  5 17:12 VMNAME.vmx<\/pre>\n\n\n\n<ol start=\"2\" class=\"wp-block-list\">\n<li>L\u00f6sche die existierende <code>.vmdk<\/code> Datei, mit dem Befehl <code>rm -rf xxx.vmdk<\/code>:<\/li>\n<\/ol>\n\n\n\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"bash\" data-enlighter-theme=\"\" data-enlighter-highlight=\"\" data-enlighter-linenumbers=\"\" data-enlighter-lineoffset=\"\" data-enlighter-title=\"\" data-enlighter-group=\"\">[root@esxihost:]$ rm VMNAME.vmdk<\/pre>\n\n\n\n<ol start=\"3\" class=\"wp-block-list\">\n<li>Erstelle eine neue &#8222;temp&#8220; Festplatte (<code>-flat.vmdk<\/code> und <code>.vmdk<\/code>) mit <code>vmkfstools<\/code>. Achte darauf, dass die Gr\u00f6\u00dfe, die du angibst, exakt die Gr\u00f6\u00dfe der urspr\u00fcnglichen <code>-flat<\/code> Datei ist, die du mit <code>ls -la<\/code> aufgeschrieben hast:<\/li>\n<\/ol>\n\n\n\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"bash\" data-enlighter-theme=\"\" data-enlighter-highlight=\"\" data-enlighter-linenumbers=\"\" data-enlighter-lineoffset=\"\" data-enlighter-title=\"\" data-enlighter-group=\"\">[root@esxihost:]$ vmkfstools -c 107374182912 -d thin temp.vmdk\nCreate: 100% done.<\/pre>\n\n\n\n<ol start=\"4\" class=\"wp-block-list\">\n<li>Es sollten nun zwei neue Dateien entstehen, eine <code>temp-flat.vmdk<\/code> Datei und eine <code>temp.vmdk<\/code> Datei. Die urspr\u00fcngliche und die neue <code>-flat.vmdk<\/code> Datei sollten genau die gleiche Gr\u00f6\u00dfe haben.<\/li>\n\n\n\n<li>Bearbeite die <code>temp.vmdk<\/code> Datei:\n<ul class=\"wp-block-list\">\n<li>Ersetze in Zeile 9 <code>temp-flat.vmdk<\/code> durch den Namen der urspr\u00fcnglichen <code>-flat<\/code> Datei und<\/li>\n\n\n\n<li><strong>Wenn deine Festplatte NICHT Thin Provisioned war<\/strong>, entferne die Zeile 19 <code>ddb.thinProvisioned<\/code> oder kommentiere sie aus. Wenn sie Thin-Provisioned war, lass die Zeile so wie sie ist.<\/li>\n\n\n\n<li>Speicher die Datei.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"bash\" data-enlighter-theme=\"\" data-enlighter-highlight=\"\" data-enlighter-linenumbers=\"\" data-enlighter-lineoffset=\"\" data-enlighter-title=\"\" data-enlighter-group=\"\"># Disk DescriptorFile                                                                                      \nversion=1                                                                              \nencoding=\"UTF-8\"                                                                       \nCID=fffffffe                                                                           \nparentCID=ffffffff                                                                     \ncreateType=\"vmfs\"                                                                      \n                                                                                       \n# Extent description                                                                   \nRW 209715201 VMFS \"WebServer_2-flat.vmdk\"                                              \n                                                                                       \n# The Disk Data Base                                                                   \n#DDB                                                                                   \n                                                                                       \nddb.adapterType = \"lsilogic\"                                                           \nddb.geometry.cylinders = \"13054\"                                                       \nddb.geometry.heads = \"255\"                                                             \nddb.geometry.sectors = \"63\"                                                            \nddb.longContentID = \"cf65c0c190124ab5571025d1fffffffe\"                                 \n#ddb.thinProvisioned = \"1\"                                                             \nddb.uuid = \"60 00 C2 94 74 7b 9f 6f-36 7e b3 ce d1 90 72 2f\"                           \nddb.virtualHWVersion = \"14\"<\/pre>\n\n\n\n<p>Jetzt solltest du so etwas \u00c4hnliches wie das hier haben:<\/p>\n\n\n\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"bash\" data-enlighter-theme=\"\" data-enlighter-highlight=\"\" data-enlighter-linenumbers=\"\" data-enlighter-lineoffset=\"\" data-enlighter-title=\"\" data-enlighter-group=\"\">[root@esxihost:]$ ls -la\ntotal 92925984\ndrwxr-xr-x    1 root     root          1120 Feb 26 18:01 .\ndrwxr-xr-t    1 root     root          2100 Feb  4 15:56 ..\ndrwxr-xr-x    1 root     root          3500 Feb 20 16:31 BKUP\n-rw-------    1 root     root  107374182912 Feb  3 10:18 VMNAME-flat.vmdk  (ORIGINAL)\n-rw-------    1 root     root          1045 Feb  3 10:18 VMNAME.vmdk       (Recreated &amp; Edited)\n-rwx------    1 root     root          3449 Dec  5 17:12 VMNAME.vmx        (Recovered from .vmx~)<\/pre>\n\n\n\n<p>Jetzt wollen wir diese <code>.vmdk<\/code> und <code>-flat.vmdk<\/code> Dateien mit einer VM testen. Dazu musst du Folgendes tun:<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Erstelle eine neue VM<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Erstelle einen neuen VM-Ordner (au\u00dferhalb des urspr\u00fcnglichen VM-Ordners) mit dem Namen &#8222;Test&#8220;.\n<ul class=\"wp-block-list\">\n<li>Du kannst dies entweder \u00fcber die Shell (SSH) oder den Datastore Browser tun.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>Kopiere die folgenden Dateien in diesen Ordner:\n<ul class=\"wp-block-list\">\n<li><code>VMNAME.vmdk<\/code><\/li>\n\n\n\n<li><code>VMNAME-flat.vmdk<\/code><\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>Erstelle eine neue VM \u00fcber die grafische Benutzeroberfl\u00e4che:\n<ul class=\"wp-block-list\">\n<li>Gleiche oder \u00e4hnliche CPU und RAM (ich glaube nicht, dass es einen gro\u00dfen Unterschied macht).<\/li>\n\n\n\n<li>Entferne die Standardfestplatte und f\u00fcge eine neue Festplatte hinzu, indem du <code>Existing hard disk<\/code> ausw\u00e4hlst. Navigiere dann zu dem zuvor erstellten &#8222;Test&#8220;-Ordner und w\u00e4hle die .<code>vmdk<\/code> Datei darin aus.<\/li>\n\n\n\n<li>Unter &#8220; CD\/DVD Drive 1&#8243; w\u00e4hlst du <strong>Datastore ISO File<\/strong> und w\u00e4hlst eine Linux Live CD aus. In meinem Fall benutzte ich <strong><a href=\"https:\/\/www.kali.org\/get-kali\/\" target=\"_blank\" rel=\"noopener\">Kali Linux Live CD<\/a><\/strong>, was funktioniert hat. Vergewissere dich, dass &#8220; Connect at power on&#8220; ausgew\u00e4hlt ist.<\/li>\n\n\n\n<li>Starte die VM.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/cdn.kevinmaschke.com\/wp-content\/uploads\/2023\/03\/24163714\/Screenshot-2023-03-24-at-16.36.20-1024x732.jpg\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"732\" src=\"https:\/\/cdn.kevinmaschke.com\/wp-content\/uploads\/2023\/03\/24163714\/Screenshot-2023-03-24-at-16.36.20-1024x732.jpg\" alt=\"ESXi - Create new VM\" class=\"wp-image-7275\" srcset=\"https:\/\/cdn.kevinmaschke.com\/wp-content\/uploads\/2023\/03\/24163714\/Screenshot-2023-03-24-at-16.36.20-1024x732.jpg 1024w, https:\/\/cdn.kevinmaschke.com\/wp-content\/uploads\/2023\/03\/24163714\/Screenshot-2023-03-24-at-16.36.20-400x286.jpg 400w, https:\/\/cdn.kevinmaschke.com\/wp-content\/uploads\/2023\/03\/24163714\/Screenshot-2023-03-24-at-16.36.20-100x71.jpg 100w, https:\/\/cdn.kevinmaschke.com\/wp-content\/uploads\/2023\/03\/24163714\/Screenshot-2023-03-24-at-16.36.20-1536x1098.jpg 1536w, https:\/\/cdn.kevinmaschke.com\/wp-content\/uploads\/2023\/03\/24163714\/Screenshot-2023-03-24-at-16.36.20-500x357.jpg 500w, https:\/\/cdn.kevinmaschke.com\/wp-content\/uploads\/2023\/03\/24163714\/Screenshot-2023-03-24-at-16.36.20-374x267.jpg 374w, https:\/\/cdn.kevinmaschke.com\/wp-content\/uploads\/2023\/03\/24163714\/Screenshot-2023-03-24-at-16.36.20-851x608.jpg 851w, https:\/\/cdn.kevinmaschke.com\/wp-content\/uploads\/2023\/03\/24163714\/Screenshot-2023-03-24-at-16.36.20-1481x1059.jpg 1481w, https:\/\/cdn.kevinmaschke.com\/wp-content\/uploads\/2023\/03\/24163714\/Screenshot-2023-03-24-at-16.36.20.jpg 1970w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><figcaption class=\"wp-element-caption\">Create a new VM but replace the default disk with the disk of the encrypted VM.<\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Partition mit Testdisk wiederherstellen<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Starte die Live-CD &#8211; in meinem Fall mit grafischer Oberfl\u00e4che &#8211; um zu versuchen, deine Partition wiederherzustellen und Grub neu zu installieren. Diese Schritte k\u00f6nnen je nachdem, welche Partitionen du auf deiner VM hattest, variieren.<\/li>\n\n\n\n<li>\u00d6ffne ein Terminal und rufe <code>testdisk<\/code> auf, um deine Partitionstabelle wiederherzustellen. Ich bin <strong><a href=\"https:\/\/linuxconfig.org\/how-to-recover-partition-table-in-linux\" target=\"_blank\" rel=\"noopener\">dieser Anleitung<\/a><\/strong> gefolgt, um meine <code>Linux<\/code>-Partition wiederherzustellen. <strong>NICHT NEU STARTEN<\/strong>, wie in dieser Anleitung angegeben wird.\n<ul class=\"wp-block-list\">\n<li>Installiere <code>testdisk<\/code>, falls es noch nicht installiert ist (es ist standardm\u00e4\u00dfig in Kali Linux enthalten).<\/li>\n\n\n\n<li>Rufe <code>testdisk<\/code> auf.<\/li>\n\n\n\n<li>W\u00e4hle die <code>No Log<\/code> Option und fahre fort.<\/li>\n\n\n\n<li>Markiere die VM-Festplatte (normalerweise <code>\/dev\/sda<\/code>) und fahre fort.<\/li>\n\n\n\n<li>W\u00e4hle den Partitionstyp (<code>Intel\/PC<\/code>).<\/li>\n\n\n\n<li>W\u00e4hle <code>Analyse<\/code> und dr\u00fccke die Enter-Taste.<\/li>\n\n\n\n<li>W\u00e4hle <code>Quick Search<\/code> und dr\u00fcck die Enter-Taste.<\/li>\n\n\n\n<li>Markiere deine Partition, falls sie gefunden wurde (in meinem Fall <code>Linux<\/code> &#8211; je nach Betriebssystem\/Setup kann sie anders hei\u00dfen), und dr\u00fcck die Enter-Taste.<\/li>\n\n\n\n<li>Wenn die Partitionstabelle korrekt aussieht, w\u00e4hle die <code>Write<\/code>-Option und best\u00e4tige sie im n\u00e4chsten Schritt mit der <code>Y<\/code>-Taste.<\/li>\n\n\n\n<li>Wenn du fertig bist, beende testdisk mit <code>Quit<\/code>.<\/li>\n\n\n\n<li>\u00dcberpr\u00fcfe mit <code>fdisk -l<\/code> deine Festplatte und Partition.<\/li>\n\n\n\n<li><strong>NICHT NEU STARTEN.<\/strong><\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\">GRUB neu installieren<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Installiere Grub mit den folgenden Befehlen neu:<\/li>\n<\/ol>\n\n\n\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"bash\" data-enlighter-theme=\"\" data-enlighter-highlight=\"\" data-enlighter-linenumbers=\"\" data-enlighter-lineoffset=\"\" data-enlighter-title=\"\" data-enlighter-group=\"\">root@kali-live:~# mount \/dev\/sda1 \/mnt\nroot@kali-live:~# mount --bind \/dev \/mnt\/dev\nroot@kali-live:~# mount --bind \/dev\/pts \/mnt\/dev\/pts\nroot@kali-live:~# mount --bind \/proc \/mnt\/proc\nroot@kali-live:~# mount --bind \/sys \/mnt\/sys\nroot@kali-live:~# chroot \/mnt \/bin\/bash\nroot@kali-live:~# grub-install \/dev\/sda<\/pre>\n\n\n\n<p class=\"has-luminous-vivid-amber-background-color has-background\" style=\"font-style:normal;font-weight:300\">In einigen Anleitungen, die ich online gefunden habe, steht, dass man nur <code>chroot \/mnt<\/code> verwenden soll, wenn man den <code>chroot<\/code>-Befehl ausf\u00fchrt. Bei mir hat das nicht funktioniert und ich bekam folgende Fehlermeldungen: <code>chroot: failed to run command '\/bin\/bash'<\/code> oder <code>chroot: failed to run command '\/bin\/zsh'<\/code> &#8211; Das liegt daran, dass Kali Linux, wenn du den Pfad f\u00fcr die Bash nicht angibst, versucht, <code>chroot<\/code> \u00fcber die lokale Shell-Umgebung durchzuf\u00fchren, was nicht funktionieren kann. Du musst den Pfad und die Shell des Betriebssystems angeben, das deine VM verwendet hat.<\/p>\n\n\n\n<p class=\"has-pale-cyan-blue-background-color has-background\" style=\"font-style:normal;font-weight:300\">In einigen Anleitungen, die ich im Internet gefunden habe, steht, dass du <code>update-grub<\/code> nach dem Befehl <code>grub-install <\/code>ausf\u00fchren sollst. <strong>Ich habe das nicht<\/strong>.<\/p>\n\n\n\n<ol start=\"2\" class=\"wp-block-list\">\n<li>Beende die <code>chroot<\/code>-Umgebung und starte die VM neu.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">Starte die VM<\/h2>\n\n\n\n<p>Das Betriebssystem der VM sollte von der <code>-flat.vmdk<\/code> Datei starten. Du solltest in der Lage sein, dich einzuloggen und die Dateistruktur zu durchsuchen.<\/p>\n\n\n\n<p>Wenn das funktioniert hat, sollten die Base VMDK und die Flat-Datei in Ordnung sein! \u2705 ?<\/p>\n\n\n\n<p>Hoffentlich gelingt es jemandem, eine M\u00f6glichkeit zu finden, virtuelle Maschinen mit Snapshots wiederherzustellen. Sollte das geschehen, schreibe ich dar\u00fcber!<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Zus\u00e4tzliche Informationen\/Quellen<\/h2>\n\n\n\n<p>Die folgenden Links enthalten n\u00fctzliche Links f\u00fcr zus\u00e4tzliche Information:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.vmware.com\/security\/advisories\/VMSA-2021-0002.html\" data-schema-attribute=\"about mentions\" target=\"_blank\" rel=\"noopener\">VMWare Advisory<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/blogs.vmware.com\/security\/2023\/02\/83330.html\" data-schema-attribute=\"about mentions\" target=\"_blank\" rel=\"noopener\">VMWare Blog<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide\/\" data-schema-attribute=\"about mentions\" target=\"_blank\" rel=\"noopener\">BleepingComputer News<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.bleepingcomputer.com\/forums\/t\/782193\/esxi-ransomware-help-and-support-topic-esxiargs-args-extension\/\" data-schema-attribute=\"about mentions\" target=\"_blank\" rel=\"noopener\">BleepingComputer Forum<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/enes.dev\/\" data-schema-attribute=\"about mentions\" target=\"_blank\" rel=\"noopener\">Enes.dev<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/blog.ovhcloud.com\/ransomware-targeting-vmware-esxi\/\" data-schema-attribute=\"about mentions\" target=\"_blank\" rel=\"noopener\">OVH Blog<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/kb.vmware.com\/s\/article\/76372\" data-schema-attribute=\"about mentions\" target=\"_blank\" rel=\"noopener\">Disable SLP Service<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/kb.vmware.com\/s\/article\/1002511\" data-schema-attribute=\"about mentions\" target=\"_blank\" rel=\"noopener\">Recreate VMDK Descriptor<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/kb.vmware.com\/s\/article\/1026353\" data-schema-attribute=\"about mentions\" target=\"_blank\" rel=\"noopener\">Recreate VMDK Descriptor for Delta file disks<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/github.com\/cisagov\/ESXiArgs-Recover\/blob\/main\/recover.sh\" data-schema-attribute=\"about mentions\" target=\"_blank\" rel=\"noopener\">CISA ESXiArgs Recover Script<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.cvedetails.com\/cve\/CVE-2020-3992\/\" data-schema-attribute=\"about mentions\" target=\"_blank\" rel=\"noopener\">CVE Details<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Letzten Februar wurden Tausende von ESXi-Servern von einem neuen Ransomware-Angriff (&#8222;ESXiARGS&#8220;) betroffen, der die Server \u00fcber eine Sicherheitsl\u00fccke (CVE-2021-21972, CVE-2021-21973 und CVE-2021-21974) angriff, welche durch einen Puffer\u00fcberlauf im OpenSLP-Dienst verursacht wurde. Bei den betroffenen Systemen &#8230;<\/p>\n","protected":false},"author":1,"featured_media":7270,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[208,411,220],"tags":[2737,1696,2739],"class_list":["post-7333","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-linux-de","category-anleitungen","category-technologie","tag-esxi-de","tag-linux-de","tag-ransomware-de"],"acf":{"book_cover":null,"special_featured_image":null},"_links":{"self":[{"href":"https:\/\/www.kevinmaschke.com\/de\/wp-json\/wp\/v2\/posts\/7333","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kevinmaschke.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kevinmaschke.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kevinmaschke.com\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kevinmaschke.com\/de\/wp-json\/wp\/v2\/comments?post=7333"}],"version-history":[{"count":0,"href":"https:\/\/www.kevinmaschke.com\/de\/wp-json\/wp\/v2\/posts\/7333\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kevinmaschke.com\/de\/wp-json\/wp\/v2\/media\/7270"}],"wp:attachment":[{"href":"https:\/\/www.kevinmaschke.com\/de\/wp-json\/wp\/v2\/media?parent=7333"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kevinmaschke.com\/de\/wp-json\/wp\/v2\/categories?post=7333"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kevinmaschke.com\/de\/wp-json\/wp\/v2\/tags?post=7333"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}