Nyheter, Prylar, Android, Mobiler, Appnedladdningar, Android

Ny Venus Ransomware riktar sig till offentligt exponerade RDP-system

En relativt ny ransomware-grupp har hittats som träffar de offentligt exponerade fjärrskrivbordsanslutningarna – även via de icke-standardiserade portarna.

Med namnet Venus Ransomware avslutar gruppen ett antal legitima Windows-processer innan de krypterar målsystemet och tar till och med bort händelseloggarna och skuggkopiorna för att förhindra dataåterställning.

Venus Ransomware Modus Operandi

Som noterats av en säkerhetsanalytiker och senare av Bleeping Computeren ny ransomware vid namn Venus group – som startade sin verksamhet i augusti 2022 – har riktat sig mot offentligt exponerade fjärrskrivbordssystem.

Börjar, Venus ransomware kommer att försöka avsluta nedanstående 39 processer – kopplat till databasservrar och Microsoft Office-applikationer – innan du fortsätter att kryptera offrets systemdata.

taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe

Vidare kommer ransomware också att radera händelseloggarna, Shadow Copy-volymer och inaktivera Data Execution Prevention för att undvika att offret hämtar data utan att använda sin dekrypteringsnyckel. Efter alla dessa kommer gänget att fortsätta att kryptera filerna och lägga till .venus tillägg till alla krypterade filer.

Forskare har upptäckt att alla krypterade filer har en filmarkör som ” och annan information i slutet av filen, vilket är av oklart syfte. Tja, de skapar en HTA-lösennota i mappen %Temp% för att automatiskt visas när krypteringsprocessen är klar.

Ransomwaren nämner sin TOX-adress och e-postadress för att offren ska kontaktas och prata om lösensumman. Forskare varnade att systemadministratörer som öppnade sina fjärrskrivbordsanslutningar borde gömma dem bakom en brandvägg, eftersom den också träffar icke-standardiserade TCP-portar.

Att ha sådana system åtkomst via ett VPN rekommenderas också starkt om de ska exponeras för allmänheten. Att säkra dem är det bästa sättet att undvika att bli cyberangrepp, säger experter.