Venus атакува публични услуги за отдалечен работен плот

Хакерите зад сравнително новия рансъмуер Venus атакуват публично изложени услуги за отдалечен работен плот, за да криптират устройства с Windows.

Venus Ransomware изглежда  работи от средата на август 202 г. и оттогава криптира жертви по целия свят. През 2021г. обаче имаше друг ransomware, използващ същото криптирано файлово разширение, но няма яснота дали са свързани.

Как Venus криптира Windows устройства

Когато бъде изпълнен, рансъмуерът Venus  прекратява тридесет и девет процеса, свързани със сървъри на бази данни и приложения на Microsoft Office.

taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe

Рансъмуерът също така трие регистрационните файлове на събитията, томовете на копиране в сянка и  деактивира предотвратяването на изпълнение на данни, като използва следната команда:

wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE

При шифроване на файлове, рансъмуерът ще добави разширението .venus. Например файл, наречен test.jpg, ще бъде шифрован и преименуван на test.jpg.venus.

Във всеки криптиран файл рансъмуерът ще добави файлов маркер „goodgamer“ и друга информация в края на файла. Към момента не е ясно каква е тази допълнителна информация.

Рансъмуерът ще създаде HTA бележка за откуп в папката %Temp%, която автоматично ще се покаже, когато се приключи с криптирането на устройството.

Този ransomware нарича себе си „Venus“ и споделя TOX адрес и имейл адрес, които могат да се използват за връзка с нападателя за преговори за плащане на откуп. В края на бележката за откуп има base64 кодирано петно, което вероятно е криптираният ключ за дешифриране.

Понастоящем рансъмуерът Venus е доста активен, като ежедневно се качват нови заявки на ID Ransomware.

Тъй като рансъмуерът изглежда е насочен към публично изложени услуги за отдалечен работен плот, дори и за тези, работещи на нестандартни TCP портове, е жизненоважно  да поставите тези услуги зад защитна стена.

В идеалния случай никакви услуги за отдалечен работен плот не трябва да бъдат публично изложени в интернет и те трябва да бъдат достъпни само чрез VPN

Източник: По материали от Интернет

Подобни публикации

6 декември 2022

Най-големият пазар на малуер за мобилни устройс...

Изследователи в областта на киберсигурността хвърлиха светлина върх...
5 декември 2022

Социалните медии повишават насилието в училище

Нов доклад, публикуван от британския мозъчен тръст Crest Advisory, ...
4 декември 2022

Google с нова актуализация на Chrome, поправя ...

  В петък гигантът в областта на търсенето в интернет Google п...
1 декември 2022

Google с обвинения към испански шпионски софтуер

Смята се, че базираният в Барселона доставчик на софтуер за наблюде...
1 декември 2022

За дигиталните активи на починалите

Напоследък много наши потребители ни питат какво се случва с пароли...
30 ноември 2022

Уязвимост на Hyundai позволява хакване на ключ...

Изследователи са открили недостатъци в редица приложения, свързани ...
Бъдете социални
Още по темата
22/11/2022

Google Cloud Platform вече ...

Toвa е един от най-широко използваните...
19/11/2022

Защо бизнесът продължава да...

Всяка година огромен брой организации стават...
16/11/2022

Стотици хиляди атаки на Emo...

Ботнетът, който отказва да умре, се...
Последно добавени
06/12/2022

Най-големият пазар на малуе...

Изследователи в областта на киберсигурността хвърлиха...
05/12/2022

Социалните медии повишават ...

Нов доклад, публикуван от британския мозъчен...
04/12/2022

Google с нова актуализация ...

  В петък гигантът в областта...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!