3 月 15 日，有 VMware Vsphere 用户发博称，他们的大量虚拟机被恶意关闭，并且处于无法连接状态，导致用户生产环境停线严重事故。经排查，他们的虚拟机被勒索病毒攻击，花了一整天的时间，才将业务恢复了 80% 左右。这件事引起了行业人士的广泛关注。

博主描述此次事件表现为：

1 、 VMware vSphere 集群仅有 vCenter 处于正常状态。

2 、同时企业中 Windows 桌面 PC ，笔记本大量出现被加密情况。

这意味着虚拟机系统也被勒索病毒盯上了。

VMware vSphere 部分：

浏览 ESXI Datastore 发现，虚拟机磁盘文件 .vmdk 、虚拟机描述文件 .vmx 被重命名。手动打开 .vmx 文件，发现 .vmx 文件被加密。另外 VMware vm-support 日志收集包中，也有了勒索软件生成的说明文件。

Windows 部分：

1 、 Windows 客户端出现出现文件被加密情况，加密程度不一，某些用户文件全盘加密，某些用户部分文件被加密。

2 、 Windows 系统日志被清理，无法溯源。（客户端均安装有企业防病毒软件，但并未起到防护作用。）

这次病毒感染了 VMware虚拟机 +Windows， 一般情况下，勒索病毒很难做到跨操作系统的感染，例如臭名昭著的 WannaCry ，针对 Windows 系统的漏洞可以加密，但是遇到虚拟机操作系统时就失效了。

随着计算机虚拟化的发展，公有云及私有云等数据中心采用虚拟化的部署方式已成为趋势，而其中 VMware vSphere 虚拟化平台市场占有率最大，自然成为了勒索病毒攻击的重点。

从此次事件可以看出，勒索病毒已经开始瞄上了 VMware vSphere 用户，或许它们正在偷偷前行，等待合适时机进行大规模进攻。这并非是危言耸听，最近针对 VMware vSphere 系统漏洞的攻击发生在今年 2 月，勒索软件团队通过 “ RansomExx ” 病毒，利用 VMWare ESXi 产品中的漏洞（ CVE-2019-5544 、 CVE-2020-3992 ），对虚拟硬盘的文件进行加密。

RansomExx 被发现（来源： Kaspersky ）

“ RansomExx ” 病毒早在去年 10 月就被发现非法入侵企业的网络设备，并攻击本地的 ESXi 实例，进而加密其虚拟硬盘中的文件。由于该实例用于存储来自多个虚拟机的数据，因此对企业造成了巨大的破坏。

根据已有 VMware 勒索事件发现，黑客利用 VMware ESXi 管理程序漏洞对虚拟机进行加密。 Carbon Spider 和 Sprite Spider 这两个团伙专门攻击 ESXi 虚拟机管理程序，发动大规模的勒索病毒活动（又叫大型目标狩猎， BGH ）。

他们通过 vCenter Web 登录信息攻击 ESXi 系统，可控制多个 ESXi 设备的集中式服务器，连接到 vCenter 后，黑客使 SSH 能够对 ESXi 设备进行持久访问，并更改 root 密码或主机的 SSH 密钥，与此同时植入 Darkside 勒索病毒，达成目的。

上个月底 VMware 也发布了一份安全公告，对其虚拟化产品中的三个高危漏洞打上了补丁，这包括 ESXi 裸机虚拟机管理程序中的堆缓冲区溢出漏洞，以及 vCenter Server 的底层操作系统漏洞。 VMware 用户请提高警惕 ...

此次事件的博主提到了他们的处理方式：

一是针对 VMware vSphere 被感染的虚拟机文件：

1 、得益于客户现有存储每天执行过快照， VMware vSphere 虚拟化主机全部重建后，通过存储 LUN 快照创建新的 LUN 挂载给 ESXI ，进行手动虚拟机注册。然后启动虚拟机逐步验证数据丢失情况、恢复业务。

2 、用户有数据备份环境，部分存储于本地磁盘的 VMware 虚拟机，由于无法通过快照的方式还原，通过虚拟机整机还原。

3 、对于没有快照、没有备份的虚拟机，只能选择放弃。后续重构该虚拟机。

4 、对现有虚拟化环境进行了升级。

二是针对 Windows 被感染的文件：

1、 对于 Windows 客户端进行断网处理，并快速抢救式备份数据。

2、 开启防病毒软件的防勒索功能。

从事件解决方式可以看出来：数据灾备才是最有效的安全保障。那么，如何对虚拟机进行备份，以及针对关键虚拟机进行容灾？ **

1 、海量虚拟机环境用户

采用云祺 VMware vSphere 无代理备份，为用户日常运维成本降低几十甚至数百倍。

2 、降低 RPO 实现容灾

云祺容灾可恢复至被勒索病毒感染的前一刻，最小备份恢复力度可达毫秒级， RPO 值越低越能减少用户损失。

3 、灵活备份业务数据

灵活的备份模式和时间备份策略，在勒索病毒来临前，按需设置备份任务，确保拥有有效备份数据。

4 、本地异地双重保护

云祺可帮助用户建设异地容灾系统，即使本地业务系统因勒索病毒导致业务暂时中断，也可在异地拉起业务，实现业务接管。

5 、数据归档三重保护

云祺将用户重要备份数据本地归档或者云归档，有效地管理数据，实现数据的长期保存，即使异地备份系统同时被攻击，也有 PLAN C 。

6 、 Windows 同步备份

为 Windows 用户同步提供操作系统、数据库、文件等数据的容灾备份，有效应对“ Double Kill ”的勒索病毒攻击。

云祺已为全球 160 万 + 台虚拟机提供保护，其中 VMware 用户约占 70% ，提供成熟稳定的 VMware 虚拟机备份与恢复解决方案。

我们做出了一些勒索病毒的反思和建议：

1 、数据备份非常重要，建议有多份备份数据，存储于不同介质或区域，备份往往是灾难发生后的唯一救命稻草。

2 、存储级别的冗余也很有必要，比如存储的快照，复制，克隆等技术，这些技术在备份和还原上非常的迅速，利于快速恢复业务。

3 、关注厂商的安全公告，及时对现有环境中的软硬件环境进行升级。

而这次勒索病毒针对 VMware vSphere 的攻击，实际上是黑客团队推开了针对虚拟机攻击的大门。这次事件也在提醒我们，重要数据必须备份。