Хакерите зад сравнително новия рансъмуер Venus атакуват публично изложени услуги за отдалечен работен плот, за да криптират устройства с Windows.

Venus Ransomware изглежда  работи от средата на август 202 г. и оттогава криптира жертви по целия свят. През 2021г. обаче имаше друг ransomware, използващ същото криптирано файлово разширение, но няма яснота дали са свързани.

Как Venus криптира Windows устройства

Когато бъде изпълнен, рансъмуерът Venus  прекратява тридесет и девет процеса, свързани със сървъри на бази данни и приложения на Microsoft Office.

taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe

Рансъмуерът също така трие регистрационните файлове на събитията, томовете на копиране в сянка и  деактивира предотвратяването на изпълнение на данни, като използва следната команда:

wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE

При шифроване на файлове, рансъмуерът ще добави разширението .venus. Например файл, наречен test.jpg, ще бъде шифрован и преименуван на test.jpg.venus.

Във всеки криптиран файл рансъмуерът ще добави файлов маркер „goodgamer“ и друга информация в края на файла. Към момента не е ясно каква е тази допълнителна информация.

Рансъмуерът ще създаде HTA бележка за откуп в папката %Temp%, която автоматично ще се покаже, когато се приключи с криптирането на устройството.

Този ransomware нарича себе си „Venus“ и споделя TOX адрес и имейл адрес, които могат да се използват за връзка с нападателя за преговори за плащане на откуп. В края на бележката за откуп има base64 кодирано петно, което вероятно е криптираният ключ за дешифриране.

Понастоящем рансъмуерът Venus е доста активен, като ежедневно се качват нови заявки на ID Ransomware.

Тъй като рансъмуерът изглежда е насочен към публично изложени услуги за отдалечен работен плот, дори и за тези, работещи на нестандартни TCP портове, е жизненоважно  да поставите тези услуги зад защитна стена.

В идеалния случай никакви услуги за отдалечен работен плот не трябва да бъдат публично изложени в интернет и те трябва да бъдат достъпни само чрез VPN

Източник: По материали от Интернет

Подобни публикации

22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
21/01/2025

Злоупотреба с услугите на M...

Наблюдавани са две отделни заплахи, които...
21/01/2025

Нарушаване на сигурността н...

Базираният в Калифорния гигант в областта...
Последно добавени
22/01/2025

Продуктите за сграден контр...

Изследовател твърди, че е открил над...
22/01/2025

Над 380 000 долара са изпла...

Инициативата Zero Day Initiative (ZDI) на...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!