Вредоносная программа шифрует файлы журналов и образы дисков и памяти виртуальных машин.
Специалисты компании Trend Micro сообщают о выявлении новой вымогательской программы под названием Cheerscrypt, применяемой для атаки на сервера с гипервизорами VMware ESXi. На таком сервере под управлением гипервизора может работать множество виртуальных машин, совместно использующих ресурсы сервера, и поэтому успешная атака на сервер с гипервизором сравнима по эффективности с атакой на целый ряд компьютеров.
Cheerscrypt шифрует файлы журналов и образы дисков и памяти виртуальных машин (файлы в форматах .log, .vmdk, .vmem, .vswp и .msn), а затем сообщает об этом пользователю и требует выкуп за ключ, позволяющий расшифровать данные. Аналогичными методами действуют уже известные вымогательские программы, ориентированные на виртуальные машины — LockBit, Hive и RansomEXX.
Cheerscrypt сам по себе не заражает компьютеры — это программа, которая запускается злоумышленниками после получения доступа к системе другими методами, или, непреднамеренно, самими пользователями после посещения вредоносных сайтов или получения мошеннических писем.