Venus атакува публични услуги за отдалечен работен плот

Хакерите зад сравнително новия рансъмуер Venus атакуват публично изложени услуги за отдалечен работен плот, за да криптират устройства с Windows.

Venus Ransomware изглежда  работи от средата на август 202 г. и оттогава криптира жертви по целия свят. През 2021г. обаче имаше друг ransomware, използващ същото криптирано файлово разширение, но няма яснота дали са свързани.

Как Venus криптира Windows устройства

Когато бъде изпълнен, рансъмуерът Venus  прекратява тридесет и девет процеса, свързани със сървъри на бази данни и приложения на Microsoft Office.

taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe

Рансъмуерът също така трие регистрационните файлове на събитията, томовете на копиране в сянка и  деактивира предотвратяването на изпълнение на данни, като използва следната команда:

wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE

При шифроване на файлове, рансъмуерът ще добави разширението .venus. Например файл, наречен test.jpg, ще бъде шифрован и преименуван на test.jpg.venus.

Във всеки криптиран файл рансъмуерът ще добави файлов маркер „goodgamer“ и друга информация в края на файла. Към момента не е ясно каква е тази допълнителна информация.

Рансъмуерът ще създаде HTA бележка за откуп в папката %Temp%, която автоматично ще се покаже, когато се приключи с криптирането на устройството.

Този ransomware нарича себе си „Venus“ и споделя TOX адрес и имейл адрес, които могат да се използват за връзка с нападателя за преговори за плащане на откуп. В края на бележката за откуп има base64 кодирано петно, което вероятно е криптираният ключ за дешифриране.

Понастоящем рансъмуерът Venus е доста активен, като ежедневно се качват нови заявки на ID Ransomware.

Тъй като рансъмуерът изглежда е насочен към публично изложени услуги за отдалечен работен плот, дори и за тези, работещи на нестандартни TCP портове, е жизненоважно  да поставите тези услуги зад защитна стена.

В идеалния случай никакви услуги за отдалечен работен плот не трябва да бъдат публично изложени в интернет и те трябва да бъдат достъпни само чрез VPN

Източник: По материали от Интернет

Подобни публикации

20 март 2023

Хакерите са се насочвали предимно към уязвимост...

Хакерите продължават да се насочват към уязвимостите от типа „...
20 март 2023

Препоръки на CISA за домашните мрежи - част1

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА За да се предотв...
20 март 2023

Windows 11 ще иска разрешение, преди да закача ...

Microsoft съобщава, че ще предостави на разработчиците нов API, кой...
19 март 2023

Winter Vivern е насочена към индийски, източное...

АРТ групата, известна като Winter Vivern, е свързана с кампании, на...
18 март 2023

Измерване на ефективността на SOC

Компаниите трябва да измерват ефективността във всички области на д...
17 март 2023

(ISC)² с програма за 1 000 000 безплатни курсов...

Искате да видите  себе си в киберсигурността? Не ви е необходим опи...
17 март 2023

Поддръжката на Microsoft краква Windows на клие...

При неочакван обрат инженер по поддръжката на Microsoft прибягва до...
16 март 2023

Фалшиво ChatGPT разширение за Chrome отвлича ак...

Установено е, че фалшиво разширение за браузър Chrome с марката Cha...
Бъдете социални
Още по темата
20/03/2023

Windows 11 ще иска разрешен...

Microsoft съобщава, че ще предостави на...
17/03/2023

Поддръжката на Microsoft кр...

При неочакван обрат инженер по поддръжката...
14/03/2023

Microsoft отстранява пробле...

Microsoft най-накрая се справи с известния...
Последно добавени
20/03/2023

Хакерите са се насочвали пр...

Хакерите продължават да се насочват към...
20/03/2023

Препоръки на CISA за домашн...

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА...
20/03/2023

Windows 11 ще иска разрешен...

Microsoft съобщава, че ще предостави на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!