Търсене
Close this search box.

Venus атакува публични услуги за отдалечен работен плот

Хакерите зад сравнително новия рансъмуер Venus атакуват публично изложени услуги за отдалечен работен плот, за да криптират устройства с Windows.

Venus Ransomware изглежда  работи от средата на август 202 г. и оттогава криптира жертви по целия свят. През 2021г. обаче имаше друг ransomware, използващ същото криптирано файлово разширение, но няма яснота дали са свързани.

Как Venus криптира Windows устройства

Когато бъде изпълнен, рансъмуерът Venus  прекратява тридесет и девет процеса, свързани със сървъри на бази данни и приложения на Microsoft Office.

taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe

Рансъмуерът също така трие регистрационните файлове на събитията, томовете на копиране в сянка и  деактивира предотвратяването на изпълнение на данни, като използва следната команда:

wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE

При шифроване на файлове, рансъмуерът ще добави разширението .venus. Например файл, наречен test.jpg, ще бъде шифрован и преименуван на test.jpg.venus.

Във всеки криптиран файл рансъмуерът ще добави файлов маркер „goodgamer“ и друга информация в края на файла. Към момента не е ясно каква е тази допълнителна информация.

Рансъмуерът ще създаде HTA бележка за откуп в папката %Temp%, която автоматично ще се покаже, когато се приключи с криптирането на устройството.

Този ransomware нарича себе си „Venus“ и споделя TOX адрес и имейл адрес, които могат да се използват за връзка с нападателя за преговори за плащане на откуп. В края на бележката за откуп има base64 кодирано петно, което вероятно е криптираният ключ за дешифриране.

Понастоящем рансъмуерът Venus е доста активен, като ежедневно се качват нови заявки на ID Ransomware.

Тъй като рансъмуерът изглежда е насочен към публично изложени услуги за отдалечен работен плот, дори и за тези, работещи на нестандартни TCP портове, е жизненоважно  да поставите тези услуги зад защитна стена.

В идеалния случай никакви услуги за отдалечен работен плот не трябва да бъдат публично изложени в интернет и те трябва да бъдат достъпни само чрез VPN

Източник: По материали от Интернет

Подобни публикации

30 май 2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка, за да спечели...
30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
Бъдете социални
Още по темата
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Christie's потвърждава проб...

Christie’s потвърди, че е претърпяла инцидент...
27/05/2024

Фалшиви антивирусни сайтове...

Наблюдавани са  заплахи, които използват фалшиви...
Последно добавени
30/05/2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка,...
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!