Le ransomware Venus cible les services de bureau à distance exposés au public.
Un ransomware relativement nouveau, identifié sous le nom de Venus, pirate les services de bureau à distance exposés publiquement pour chiffrer les appareils Windows. Selon les chercheurs, le ransomware Venus a commencé à fonctionner à la mi-août 2022 et a depuis chiffré des victimes dans le monde entier.
Venus ransomware est fondamentalement un logiciel malveillant qui interfère avec les paramètres essentiels de l'ordinateur avec l'objectif principal de crypter des fichiers précieux. Venus de cryptage pour stocker l'accès aux organisations de données. Pour les rendre reconnaissables, le ransomware ajoute une extension du même nom à leur nom d'origine.
La propagation de Venus ransomware peut se faire par le biais de techniques telles que les campagnes d'escroquerie par e-mail, les cracks de logiciels, les fausses notifications de mise à jour de logiciels, les logiciels gratuits dont l'installation est compromise et les liens Web malveillants. Toutes les méthodes énumérées ont un seul objectif, à savoir inciter les gens à télécharger des logiciels malveillants sur leur PC, alors qu'ils pensent avoir installé le contenu original.
Dès son exécution, le ransomware tente de mettre fin à trente-neuf processus connectés à des serveurs de bases de données et à des applications Microsoft. Le ransomware continue ensuite à supprimer les journaux d'événements, les Shadow Copy Volumes et à désactiver le Data Execution Prevention par le biais d'une commande identifiée.
Lors du chiffrement des fichiers, le ransomware ajoute l'extension .venus. Dans chaque fichier crypté, le ransomware ajoute un marqueur de fichier "goodgamer" et d'autres informations à la fin du fichier. Cependant, la signification de ces informations n'est pas claire.
Le ransomware crée une note de rançon HTA dans le dossier %Temp% qui s'affiche automatiquement lorsque le ransomware est prêt à crypter l'appareil.
En analysant la note de rançon vue, le ransomware se fait appeler "Venus" et partage une adresse TOX et une adresse e-mail qui peuvent être utilisées pour joindre l'acteur de la menace afin de négocier un paiement de rançon. À la fin de la note de rançon se trouve un blob encodé en Base64, qui est probablement la clé de décryptage chiffrée.
Afin de supprimer le ransomware sur les serveurs, il est recommandé aux organisations de suivre les étapes suivantes. La première étape consiste à démarrer le PC en mode sans échec pour isoler et supprimer le virus Venus. La deuxième étape consiste à désinstaller Venus Virus et les logiciels associés de Windows. La troisième étape consiste à nettoyer tous les registres créés par le virus sur l'ordinateur. La quatrième étape consiste à rechercher Venus Virus à l'aide de l'outil anti-malware SpyHunter. La cinquième étape consiste à tenter de restaurer les pièces cryptées par Venus Virus.
Les sources de cet article comprennent un article de BleepingComputer.