近日，安全实验室监测到一款针对VMware vSphere的勒索病毒——RansomEXX病毒。“RansomExx”勒索软件（又名“Defray777”）背后的组织在攻击活动中使用了CVE-2019-5544和CVE-2020-3992漏洞。
这两个漏洞都是存在于 VMware ESXi中的远程代码执行漏洞，攻击者将恶意的SLP（服务定位协议）请求发送到ESXi设备并对其进行控制。攻击活动中，攻击者首先入侵受害者公司的一台设备，并以该设备为初始入口攻击本地ESXi虚拟机并加密其虚拟硬盘。由于ESXi虚拟磁盘通常用于集中来自多个其他系统的数据，被攻击的虚拟机存储了来自多个虚拟机的数据，因此此次攻击对该公司造成了较大影响。
详细中毒情况
▶ VMware vsphere集群仅有vCenter处于正常状态；
▶ VMware vsphere部分：浏览ESXI Datastore发现，虚拟机磁盘文件.vmdk，虚拟机描述文件.vmx被重命名，手动打开.vmx文件，发现.vmx文件被加密；
▶ Windows部分：Windows客户端出现出现文件被加密情况，加密程度不一，某些PC全盘加密，某些PC部分文件被加密；Windows系统日志被清理，无法溯源。
影响范围
1、VMware ESXi 远程代码执行漏洞（CVE-2019-5544）
lESXi = 6.7
lESXi = 6.5
lESXi = 6.0
lVMware Horizon DaaS = 8.x
2、VMWARE ESXI 远程代码执行漏洞（CVE-2020-3992）
lESXi = 6.5
lESXi = 6.7
lESXi = 7.0
lVMware Cloud Foundation (ESXi) = 3.X
lVMware Cloud Foundation (ESXi) = 4.X