Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
El ransomware Venus se dirige a servicios de Escritorio Remoto expuestos al público
2 de noviembre de 2022 - Equipo de Relaciones Públicas de TuxCare
Una operación de ransomware relativamente nueva, identificada como Venus, está pirateando servicios de Escritorio Remoto expuestos públicamente para cifrar dispositivos Windows. Según los investigadores, el ransomware Venus comenzó a operar a mediados o agosto de 2022 y desde entonces ha cifrado a víctimas de todo el mundo.
Venus ransomware es básicamente un malware malicioso que interfiere con la configuración esencial de la computadora con el objetivo principal de cifrar archivos valiosos. Venus encriptación para almacenar el acceso a las organizaciones de datos. Para hacerlos reconocibles, el ransomware anexa una extensión del mismo nombre a su nombre original.
La propagación del ransomware Venus podría realizarse a través de técnicas como campañas de fraude por correo electrónico, cracks de software, falsas notificaciones de actualización de software, programas gratuitos con instaladores comprometidos y enlaces web maliciosos. Todos los métodos mencionados tienen un único objetivo, que consiste en engañar a la gente para que descargue software malicioso en sus PC, mientras creen que han instalado el contenido original.
En cuanto se ejecuta, el ransomware intenta terminar treinta y nueve procesos que están conectados a servidores de bases de datos y aplicaciones de Microsoft. A continuación, el ransomware continúa eliminando registros de eventos, Shadow Copy Volumes y desactiva Data Execution Prevention a través de un comando identificado.
Al cifrar los archivos, el ransomware añade la extensión .venus. En cada archivo cifrado, el ransomware añadirá un marcador de archivo "goodgamer" y otra información al final del archivo. Sin embargo, no está claro qué significa.
El ransomware crea una nota de rescate HTA en la carpeta %Temp% que se mostrará automáticamente cuando el ransomware esté listo para cifrar el dispositivo.
Analizando la nota de rescate vista, el ransomware se autodenomina "Venus" y comparte una dirección TOX y una dirección de correo electrónico que pueden utilizarse para contactar con el actor de la amenaza y negociar el pago del rescate. Al final de la nota de rescate hay un blob codificado en Base64, que probablemente sea la clave de descifrado cifrada.
Con el fin de eliminar el ransomware en los servidores, se recomienda a las organizaciones seguir los pasos dados. El primer paso es arrancar el PC en modo seguro para aislar y eliminar el virus Venus. El segundo paso es desinstalar Venus Virus y el software relacionado de Windows. El tercer paso es limpiar cualquier registro creado por el virus en su ordenador. El cuarto paso consiste en buscar el virus Venus con la herramienta antimalware SpyHunter. El quinto paso consiste en restaurar los archivos encriptados por el virus Venus.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
