Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Venus-Ransomware zielt auf öffentlich zugängliche Remote Desktop-Dienste
2. November 2022. TuxCare PR Team
Eine relativ neue Ransomware mit dem Namen Venus hackt sich in öffentlich zugängliche Remote-Desktop-Dienste ein, um Windows-Geräte zu verschlüsseln. Nach Angaben von Forschern begann Venus Ransomware Mitte oder im August 2022 zu operieren und hat seitdem Opfer auf der ganzen Welt verschlüsselt.
Venus Ransomware ist im Grunde eine bösartige Malware, die mit wesentlichen Computer-Einstellungen mit dem Hauptziel der Verschlüsselung von wertvollen Dateien stören. Venus verschlüsselt, um den Zugriff auf die Daten zu speichern Organisationen. Um sie erkennbar zu machen, fügt die Ransomware eine gleichnamige Erweiterung an ihren ursprünglichen Namen an.
Die Verbreitung von Venus-Ransomware könnte über Techniken wie E-Mail-Betrugskampagnen, Software-Cracks, gefälschte Software-Update-Benachrichtigungen, Freeware mit kompromittierten Installationsprogrammen und bösartige Weblinks erfolgen. Alle aufgeführten Methoden haben ein einziges Ziel, nämlich Menschen dazu zu verleiten, bösartige Software auf ihren PC herunterzuladen, während sie denken, dass sie den ursprünglichen Inhalt installiert haben.
Sobald sie ausgeführt wird, versucht die Ransomware, neununddreißig Prozesse zu beenden, die mit Datenbankservern und Microsoft-Anwendungen verbunden sind. Die Ransomware fährt dann fort, Ereignisprotokolle und Schattenkopie-Volumes zu löschen und die Datenausführungsverhinderung durch einen identifizierten Befehl zu deaktivieren.
Beim Verschlüsseln von Dateien fügt die Ransomware die Erweiterung .venus hinzu. In jeder verschlüsselten Datei fügt die Ransomware eine "Goodgamer"-Dateimarkierung und andere Informationen am Ende der Datei hinzu. Es bleibt jedoch unklar, wofür dies steht.
Die Ransomware erstellt eine HTA-Lösegeldforderung im Ordner %Temp%, die automatisch angezeigt wird, wenn die Ransomware bereit ist, das Gerät zu verschlüsseln.
Die Analyse der Lösegeldforderung zeigt, dass die Ransomware sich selbst "Venus" nennt und eine TOX-Adresse sowie eine E-Mail-Adresse angegeben hat, über die der Bedrohungsakteur erreicht werden kann, um eine Lösegeldzahlung auszuhandeln. Am Ende der Lösegeldforderung befindet sich ein Base64-kodierter Blob, bei dem es sich wahrscheinlich um den verschlüsselten Entschlüsselungsschlüssel handelt.
Um die Ransomware auf Servern zu entfernen, wird Organisationen empfohlen, die angegebenen Schritte zu befolgen. Der erste Schritt besteht darin, den PC im abgesicherten Modus zu starten, um den Venus-Virus zu isolieren und zu entfernen. Der zweite Schritt ist die Deinstallation von Venus Virus und zugehöriger Software von Windows. Der dritte Schritt besteht darin, alle vom Virus erstellten Register auf dem Computer zu bereinigen. Der vierte Schritt besteht darin, mit dem Anti-Malware-Tool SpyHunter nach dem Venus-Virus zu suchen. Schritt 5 besteht darin, die vom Venus-Virus verschlüsselten Dateien wiederherzustellen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
