O novo ransomware Cheerscrypt foi encontrado visando servidores VMware ESXi vulneráveis ou mal protegidos.

Depois de comprometer o servidor VMware ESXi, os invasores iniciam o criptografador que enumera automaticamente as VMs em execução e as desliga usando um determinado comando esxcli.

Ao criptografar arquivos, ele procura arquivos com as extensões .log, .vmdk, .vmem, .vmsn e .vswp, que estão vinculadas a instantâneos ESXi, arquivos de troca, arquivos de paginação, discos virtuais e arquivos de log.

De acordo com as notas de resgate, os invasores dão às vítimas três dias para acessar o site fornecido para negociar o pagamento do resgate por uma chave de descriptografia em funcionamento.

Os cibercriminosos preferem atingir empresas que estão em condições de pagar demandas de resgate comparativamente maiores. Se as vítimas negarem o pagamento do resgate, os invasores alegarão vender os dados roubados para outros agentes de ameaças.

Se ninguém mostrar interesse em comprar os dados, eles serão postados no portal de vazamentos.