允许VMwareESXi服务器所有者感染勒索软件的脚本(在新标签页中打开)恢复文件不再有效，因为攻击者更新了加密器并修补了它的缺陷。现在，如果没有从威胁参与者那里获得解密密钥，那些没有端点保护的人很可能无法恢复文件。

BleepingComputer证实了这一消息(在新标签页中打开)，其研究人员分析了新获得的加密器样本。

上周晚些时候，一些欧洲国家以及美国和加拿大的国家网络安全机构警告说，针对VMwareESXi服务器的广泛的半自动攻击。攻击者发现了3,000多个端点(截至发稿时)容易受到VMware两年前修补的漏洞的攻击，并利用该漏洞部署了ESXiArgs勒索软件。

受攻击的服务器主要位于欧洲(意大利、法国、芬兰)，但也位于美国和加拿大。据称，法国的企业受到的打击最为严重。

该国的国家政府计算机安全事件响应小组CERT-FR表示，这次攻击是半自动的，针对易受CVE-2021-21974攻击的服务器。该缺陷被描述为OpenSLPHeapOverflow漏洞，允许威胁参与者远程执行代码。

但不久之后，研究人员发现加密器存在缺陷，在加密大文件的过程中，跳过了大部分文件。这为YoreGroup技术团队的两名研究人员提供了大量未加密的文件来处理，这帮助他们设计了一种方法来解密文件并恢复对受感染设备的访问。

美国网络安全和基础设施安全局(CISA)后来介入，创建了一个脚本来自动化工作，并在GitHub上分享了它。

但好消息并没有持续多久，因为威胁行为者现在开始部署加密器的更新版本，该漏洞已被消除。尽管如此，每个人都建议受害者尝试使用CISA的脚本，以防万一。