Търсене
Close this search box.

Venus атакува публични услуги за отдалечен работен плот

Хакерите зад сравнително новия рансъмуер Venus атакуват публично изложени услуги за отдалечен работен плот, за да криптират устройства с Windows.

Venus Ransomware изглежда  работи от средата на август 202 г. и оттогава криптира жертви по целия свят. През 2021г. обаче имаше друг ransomware, използващ същото криптирано файлово разширение, но няма яснота дали са свързани.

Как Venus криптира Windows устройства

Когато бъде изпълнен, рансъмуерът Venus  прекратява тридесет и девет процеса, свързани със сървъри на бази данни и приложения на Microsoft Office.

taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe

Рансъмуерът също така трие регистрационните файлове на събитията, томовете на копиране в сянка и  деактивира предотвратяването на изпълнение на данни, като използва следната команда:

wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE

При шифроване на файлове, рансъмуерът ще добави разширението .venus. Например файл, наречен test.jpg, ще бъде шифрован и преименуван на test.jpg.venus.

Във всеки криптиран файл рансъмуерът ще добави файлов маркер „goodgamer“ и друга информация в края на файла. Към момента не е ясно каква е тази допълнителна информация.

Рансъмуерът ще създаде HTA бележка за откуп в папката %Temp%, която автоматично ще се покаже, когато се приключи с криптирането на устройството.

Този ransomware нарича себе си „Venus“ и споделя TOX адрес и имейл адрес, които могат да се използват за връзка с нападателя за преговори за плащане на откуп. В края на бележката за откуп има base64 кодирано петно, което вероятно е криптираният ключ за дешифриране.

Понастоящем рансъмуерът Venus е доста активен, като ежедневно се качват нови заявки на ID Ransomware.

Тъй като рансъмуерът изглежда е насочен към публично изложени услуги за отдалечен работен плот, дори и за тези, работещи на нестандартни TCP портове, е жизненоважно  да поставите тези услуги зад защитна стена.

В идеалния случай никакви услуги за отдалечен работен плот не трябва да бъдат публично изложени в интернет и те трябва да бъдат достъпни само чрез VPN

Източник: По материали от Интернет

Подобни публикации

10 септември 2024

Как да създадем и подобрим сигурността на крайн...

Поради голямата си атакувана повърхност, съставена от различни набо...
10 септември 2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно преслед...
10 септември 2024

Използването на търговски шпионски софтуер се з...

Усилията на САЩ и други правителства да ограничат разработването, и...
10 септември 2024

300 000 души са засегнати от пробива на данните...

Avis Car Rental уведомява близо 300 000 души, че личната им информа...
10 септември 2024

Двама са обвинени в САЩ за организиране на паза...

САЩ повдигнаха обвинения на гражданин на Казахстан и гражданин на Р...
9 септември 2024

Шпионският софтуер Predator се появи отново с н...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
Бъдете социални
Още по темата
06/09/2024

Банда за рансъмуер твърди, ...

Известна ransomware банда твърди, че е...
05/09/2024

Microsoft се справя с пропу...

Microsoft експериментира с ново значително смекчаване...
04/09/2024

Банди за рансъмуер опустоша...

Поредицата от големи атаки с рансъмуер...
Последно добавени
10/09/2024

Как да създадем и подобрим ...

Поради голямата си атакувана повърхност, съставена...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

Използването на търговски ш...

Усилията на САЩ и други правителства...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!