注意了，針對 VMware vSphere 的勒索病毒正在嘗試著攻擊，它們似乎正在尋找機會和積累經驗。

2021 年 3 月 15 日，一篇

關於 VMware vSphere 被勒索病毒攻擊

的部落格文章（小岑部落格）引起了行業人士的廣泛關注。文章詳細介紹了虛擬機器被勒索病毒攻擊後，出現了

大量虛擬機器關閉，虛擬處於關機，並處於無法連線狀態，使用者生產環境停線

等嚴重問題。

據博主透露，VMware vSphere 叢集僅有 vCenter 處於正常狀態；同時企業中 Windows 桌面電腦、筆記本大量出現被加密情況。

這意味著虛擬機器系統被攻擊最糟糕的情況還是出現了。

一般情況下，勒索病毒很難做到跨作業系統的感染，例如臭名昭著的 WannaCry，針對 Windows 系統的漏洞可以加密，但是遇到虛擬機器作業系統時就失效了。

但一切正在改變，公有云及私有云等資料中心採用虛擬化的部署方式，不僅實現了計算資源利用率的最大化，還有利於節能環保。在計算機虛擬化的程序中，VMware vSphere 虛擬化平臺市場佔有率最大，自然成為了勒索病毒攻擊的重點。

△不同虛擬機器平臺正在被企業大量使用

來者不善，這次的勒索病毒造成 VMware vSphere 部分的

虛擬機器磁碟檔案.vmdk、虛擬機器描述檔案.vmx 被重新命名

，手動開啟。vmx 檔案，發現。vmx 檔案被加密。另外 VMware vm-support

日誌收集包

中，也有了勒索軟體生成的說明檔案。

△ESXI 日誌診斷包出現說明檔案（來源：小岑部落格）

文章提到，勒索團隊在攻擊感染了 VMware vSphere 虛擬機器檔案的同時，也加密了Windows 系統檔案：

（1）Windows 客戶端出現檔案被加密情況，加密程度不一，某些使用者檔案全盤加密，某些使用者部分檔案被加密。

（2）Windows 系統日誌被清理，無法溯源（客戶端均安裝有 McAfee 企業防病毒軟體，但未起到防護作用）。

（3）使用火絨、Autoruns、深信服 EDR 產品，暫未發現異常。

同時感染了 VMware+Windows，這是 Double Kill

。幸運的是在計算機虛擬化領域，玩家都是專業級人員，也就是精通 IT 技術的人員才會涉足像 VMware vSphere 這樣的平臺產品。換句話說，在這場戰鬥中，進攻方與防禦方旗鼓相當，被攻擊方對資料、業務恢復的能力要比普通的 IT 小白強得多。

針對本次病毒攻擊事件，文章提到了資料恢復的具體措施。

一是針對 VMware vSphere 被感染的虛擬機器檔案：

（1）得益於客戶現有儲存每天執行過快照，VMware vSphere虛擬化主機全部重建後，透過儲存LUN快照建立新的LUN掛載給ESXI，進行手動虛擬機器註冊。然後啟動虛擬機器逐步驗證資料丟失情況、恢復業務。

（2）使用者有資料備份環境，部分儲存於本地磁碟的 VMware 虛擬機器，由於無法透過快照的方式還原，透過虛擬機器整機還原。

（3）對於沒有快照、沒有備份的虛擬機器，只能選擇放棄，後續重構該虛擬機器。

（4）

對現有虛擬化環境進行了升級。

企業級作業系統，快照、備份就是企業生產的生命線。但是每天執行快照，並恢復的顆粒度是多大，這個值得警惕，顆粒度大，必然造成資料丟失，損失在所難免。

二是針對 Windows 被感染的檔案：

（1）對於 Windows 客戶端進行斷網處理，並快速搶救式備份資料。

（2）開啟防病毒軟體的防勒索功能。

資料災備真的太重要了。

從這次事件看，勒索病毒已經開始瞄上了 VMware vSphere，或許它們正在偷偷前行，等待合適時機進行大規模進攻。這並非是危言聳聽，最近針對 VMware vSphere 系統漏洞的攻擊發生在今年的 2 月，勒索軟體團隊透過

“RansomExx”

病毒，利用 VMWare ESXi 產品中的漏洞（CVE-2019-5544、CVE-2020-3992），對虛擬硬碟的檔案進行加密。

△RansomExx 被防毒軟體發現（來源：Kaspersky）

“RansomExx”

病毒早在去年 10 月就被發現非法入侵企業的網路裝置，並攻擊本地的 ESXi 例項，進而加密其虛擬硬碟中的檔案。由於該例項用於儲存來自多個虛擬機器的資料，因此對企業造成了巨大的破壞。

那麼，如何對虛擬機器進行備份，以及針對關鍵虛擬機器進行容災，比如熱備或溫備。

首先從備份策略來講，針對虛擬機器的備份越來越充滿挑戰，主要來自兩方面：一是

虛擬機器數量極其龐大

，少則十幾臺，多則數千臺，特別是在政務雲、私有云這種虛擬化平臺上，虛擬機器數量太多，傳統的針對每臺虛擬機器安裝 Agent 進行備份操作，顯得過於繁瑣和落後；二是使用者對於備份實時性要求越來越高，RPO 值越低越能減少企業的損失。

針對這兩大問題，可以透過

無代理的虛擬化備份管理軟體

，透過 VMware vSphere 開放的介面進行統一備份，並根據使用者生產環境和資料量，合理設定週期性備份策略，以降低備份的 RPO 值。

其次從虛擬機器容災策略來講，虛擬機器故障通常分為兩類：一是平臺型故障，比如物理機故障導致虛擬機器不可用，或者機房發生安全事件導致系統不可用；二是單機系統故障，系統執行慢或宕機。

針對虛擬機器不可用的問題，如果是

平臺型故障

，可以透過負載均衡進行整體切換實現故障接管；如果是單機型故障，可以透過容災高可用方案進行接管。通常虛擬機器平臺擁有單機容災機制，但在策略上，ISV 推出的高可用軟體可能更有優勢，它可以自動根據

“服務異常停止、網路異常、硬體故障、系統宕機”

進行系統的自動接管，或提示運維人員進行判斷是否接管。

另外，資料副本管理（CDM）技術的成熟，也可以對大量的虛擬機器系統進行

溫備

。CDM 技術可以透過不同的資料採集及備份策略，實現生產系統在進行週期性備份時，可以將備份週期的時間設定為

分鐘級

（如 30 分鐘備份一次）。當虛擬機器備份檔案需要恢復時，可以透過

儲存掛載（NFS）

的形式

，直接將備份檔案

掛載在虛擬化平臺上進行

瞬時恢復

，掛載過程秒級完成，比普通恢復所需要的時間更小。

△備份檔案 NFS 恢復與普通恢復

隨著虛擬機器的普及，針對虛擬機器的傷害變得越來越頻繁，樣式也越來越多樣。例如，2018 年 9 月，從思科離職 5 個月的 Sudhish Kasaba Ramesh，將魔爪伸向了他曾使用的個人 Google Cloud Project 賬戶，並使用

“rm -rf /*

命令列將 WebEx Teams 影片會議和協作應用軟體的

456

個虛擬機器刪除了。

而這次勒索病毒針對 VMware vSphere 的攻擊，實際上是駭客團隊推開了針對虛擬機器攻擊的大門。這次的攻擊，不能僅僅看成是一次簡單的病毒攻擊事件。