C’est l’histoire que relate Blogmotion. Plusieurs personnes auraient été victimes de ce ransomware bien particulier puisque visiblement cette variante s’amuse à télécharger et supprimer les machines virtuelles de votre infrastructure vCenter.
Un fichier texte est alors stocké sur les datastores (voir sur Pastebin) : l’auteur – probablement russe d’après le pseudo utilisé – demande 5 bitcoins par VM à récupérer (soit environ 1250 €) et indique qu’un disque dur sera alors envoyé après réception du paiement. L’auteur ajoute qu’il est aussi possible de passer par un serveur FTP et réclame que la somme soit envoyée avant 2 semaines.
Les versions suivantes d’ESXi et vCenter sont touchées :
- VMware ESXi 5.5 sans le patch ESXi550-201509101-SG.
- VMware ESXi 5.1 sans le patch ESXi510-201510101-SG.
- VMware ESXi 5.0 sans le patch ESXi500-201510101-SG.
- vCenter Server 6.0 inférieur à 6.0.0b.
- vCenter Server 5.5 inférieur à 5.5 update 3.
- vCenter Server 5.1 inférieur à 5.1 update u3b.
- vCenter Server 5.0 inférieur à 5.0 update u3e.
Il est donc recommandé de mettre à jour au plus vite et surtout d’éviter que vos hyperviseurs ne soient accessibles depuis internet. A consulter aussi : des mises à jour pour ESXi et vCenter sont disponibles afin de corriger des vulnérabilités (bulletin VMSA-2015-0007.2).
Les premières victimes ont commencé à se manifester courant juin (également sur la communauté de VMWare).