一种名为“Cheers”的新型勒索软件出现在网络犯罪领域，并通过针对易受攻击的 VMware ESXi 服务器开始运作。

VMware ESXi 是全球大型组织普遍使用的虚拟化平台，因此对其进行加密通常会严重破坏企业的运营。

过去，我们已经看到许多针对 VMware ESXi 平台的勒索软件组，最近添加了 LockBit 和 Hive。

趋势科技的分析师发现了向俱乐部添加了 Cheers 勒索 软件，他们将新变种称为“Cheerscrypt”。

感染和加密
一旦 VMware ESXi 服务器受到威胁，威胁参与者就会启动加密器，它会自动枚举正在运行的虚拟机并使用以下 esxcli 命令将其关闭。

esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)
在加密文件时，它会专门寻找具有以下 .log、.vmdk、.vmem、.vswp 和 .vmsn 扩展名的文件。这些文件扩展名与 ESXi 快照、日志文件、交换文件、页面文件和虚拟磁盘相关联。

每个加密文件都会在其文件名后附加“ .Cheers ”扩展名。奇怪的是，文件重命名发生在加密之前，所以如果重命名文件的访问权限被拒绝，加密会失败，但文件仍然会被重命名。

加密方案使用一对公钥和私钥来派生一个秘密（SOSEMANUK 流密码）密钥并将其嵌入每个加密文件中。用于生成密钥的私钥被擦除以防止恢复。

Cheers 加密例程 (Trend Micro)
在扫描文件夹以查找要加密的文件时，勒索软件将在每个文件夹中创建名为“ How To Restore Your Files.txt ”的勒索记录。

这些赎金记录包括有关受害者文件发生情况的信息以及勒索软件操作的 Tor 数据泄露站点和赎金协商站点的链接。

每个受害者都有一个唯一的 Tor 站点进行协商，但数据泄露站点 Onion URL 是静态的。

根据ZZQIDC对新操作的研究，它似乎已于 2022 年 3 月启动。

虽然迄今为止只发现了 Linux 勒索软件变体，但也可能有 Windows 变体可用。

使用双重勒索方案
ZZQIDC发现了 Cheers 勒索软件操作的数据泄露和受害者勒索 Onion 网站，该网站目前仅列出了四名受害者。

但是，该门户的存在表明 Cheers 在攻击期间执行数据泄露，并将被盗数据用于双重勒索攻击。

Cheer 的数据泄露 Onion 网站
来源：ZZQIDC
受害者是半大型的，因此新组织似乎更愿意打击能够满足更大需求的公司。

根据我们调查的赎金记录，威胁参与者给他们的受害者三天的时间来访问提供的 Tor 站点，以协商赎金支付，以换取有效的解密密钥。

如果受害者不支付赎金，威胁者表示他们会将被盗数据出售给其他骗子。

如果没有人对购买数据感兴趣，它就会在泄密门户上发布，并暴露给客户、承包商、数据保护机构、竞争对手和其他威胁参与者。