相对较新的 Venus Ransomware 背后的威胁者正在侵入公开的远程桌面服务以加密 Windows 设备。
Venus Ransomware 似乎已于 2022 年 8 月中旬开始运行,并已在全球范围内加密受害者。然而,自 2021 年以来,还有另一个勒索软件使用相同的加密文件扩展名,但尚不清楚它们是否相关。
BleepingComputer 最初是从 MalwareHunterTeam得知勒索软件的,安全分析师 linuxct联系了该勒索软件以 寻找有关它的信息。
Linuxct 告诉 BleepingComputer,攻击者通过 Windows 远程桌面协议获得了对受害者公司网络的访问权限。
中的另一位受害者 也报告说,RDP 被用于初始访问他们的网络,即使在使用非标准端口号进行服务时也是如此。
Venus 如何加密 Windows 设备
执行时,Venus 勒索软件将尝试终止与数据库服务器和 Microsoft Office 应用程序相关的 39 个进程。
taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe
勒索软件还将使用以下命令删除事件日志、卷影复制卷并禁用数据执行保护:
wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE
加密文件时,勒索软件会附加 .venus 扩展名,如下所示。例如,名为 test.jpg 的文件将被加密并重命名为 test.jpg。金星。

在每个加密文件中,勒索软件都会在文件末尾添加一个“goodgamer”文件标记和其他信息。目前尚不清楚这些附加信息是什么。

勒索软件将在 %Temp% 文件夹中创建一个 HTA 勒索记录,当勒索软件完成对设备的加密后,该记录将自动显示。
正如您在下面看到的,这个勒索软件称自己为“Venus”,并共享一个 TOX 地址和电子邮件地址,可用于联系攻击者以协商赎金支付。赎金记录的末尾是一个 base64 编码的 blob,它很可能是加密的解密密钥。

目前,Venus 勒索软件相当活跃,每天都有新的提交上传到 ID Ransomware。
由于勒索软件似乎针对公开暴露的远程桌面服务,即使是那些在非标准 TCP 端口上运行的服务,将这些服务置于防火墙之后至关重要。
理想情况下,不应在 Internet 上公开任何远程桌面服务,并且只能通过 VPN 访问
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Venus Ransomware针对公开暴露的远程桌面服务