Ransomware o nazwie Venus jest stosunkowo nowym „graczem” na rynku szkodliwego oprogramowania. Pierwsze przypadki infekcji odnotowano w sierpniu tego roku i jak wskazuje typ szkodnika – ransomware, szyfruje on dane na dyskach swoich ofiar. Co prawda w 2021 roku istniał inny malware, który stosował to samo rozszerzenie dla zaszyfrowanych danych, ale jak wskazuje serwis Bleeping Computer, nie ma potwierdzenia czy to dzieło tych samych autorów.
Jak wskazuje wspomniany serwis, Venus uzyskuje dostęp do komputerów swoich ofiar, poprzez publicznie wystawiony protokół Windows Remote Desktop (zdalny pulpit – RDP). Na początku Venus próbuje zakończyć 39 procesów, m.in. powiązanych z pakietem Office i bazami danych:
taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe
Co więcej, szkodnik zaciera za sobą ślady poprzez wymazywanie logów czy kasowanie VSS (usługa kopiowania woluminów w tle). Po zakończeniu procesu szyfrowania, pliki uzyskują rozszerzenie Venus.
Warto pamiętać o prawidłowej konfiguracji usług, usług wystawianych na zewnątrz, ochronie antywirusowej, a także backupach przechowywanych na osobnych, niepodłączonych do komputera na stałe nośnikach.
Źródło: https://www.bleepingcomputer.com/news/security/venus-ransomware-targets-publicly-exposed-remote-desktop-services/
