기술 지원
문서
로그인
문의하기
Venus 랜섬웨어는 공개적으로 노출된 원격 데스크톱 서비스를 표적으로 삼습니다.
2022년 11월 2일 TuxCare 홍보팀
비너스라고 알려진 비교적 새로운 랜섬웨어가 공개적으로 노출된 원격 데스크톱 서비스를 해킹하여 Windows 장치를 암호화하고 있습니다. 연구자들에 따르면 비너스 랜섬웨어는 2022년 8월 중순 또는 8월에 작동하기 시작했으며 이후 전 세계의 피해자들을 암호화했습니다.
비너스 랜섬웨어는 기본적으로 중요한 파일을 암호화하는 것을 주요 목적으로 컴퓨터의 필수 설정을 방해하는 악성 멀웨어입니다. 비너스 암호화는 데이터 조직에 대한 액세스를 저장합니다. 랜섬웨어는 이를 알아볼 수 있도록 원래 이름에 동일한 이름의 확장자를 추가합니다.
비너스 랜섬웨어의 확산은 이메일 사기 캠페인, 소프트웨어 크랙, 가짜 소프트웨어 업데이트 알림, 손상된 설치 프로그램이 포함된 프리웨어 및 악성 웹 링크와 같은 기술을 통해 실현될 수 있습니다. 나열된 모든 방법에는 사람들이 원래 콘텐츠를 설치했다고 생각하면서 악성 소프트웨어를 PC에 다운로드하도록 속이는 단일 목표가 있습니다.
랜섬웨어가 실행되는 즉시 데이터베이스 서버 및 Microsoft 애플리케이션에 연결된 39개의 프로세스를 종료하려고 시도합니다. 그런 다음 랜섬웨어는 식별된 명령을 통해 이벤트 로그, 섀도 복사본 볼륨을 계속 삭제하고 데이터 실행 방지를 비활성화합니다.
파일을 암호화할 때 랜섬웨어는 .venus 확장자를 추가합니다. 암호화된 각 파일에서 랜섬웨어는 파일 끝에 'goodgamer' 파일 마커와 기타 정보를 추가합니다. 그러나 이것이 무엇을 의미하는지는 아직 명확하지 않습니다.
랜섬웨어는 %Temp% 폴더에 랜섬웨어가 장치를 암호화할 준비가 되면 자동으로 표시되는 HTA 랜섬 메모를 생성합니다.
발견된 랜섬 노트를 분석한 결과, 랜섬웨어는 스스로를 "Venus"라고 부르며 위협 행위자에게 연락하여 몸값을 협상하는 데 사용할 수 있는 TOX 주소와 이메일 주소를 공유했습니다. 랜섬노트 마지막에는 Base64로 인코딩된 블롭이 있는데, 이 블롭은 암호화된 암호 해독 키일 가능성이 높습니다.
서버에서 랜섬웨어를 제거하기 위해 조직은 주어진 단계를 따르는 것이 좋습니다. 첫 번째 단계는 PC를 안전 모드로 부팅하여 Venus 바이러스를 격리하고 제거하는 것입니다. 두 번째 단계는 Windows에서 Venus 바이러스 및 관련 소프트웨어를 제거하는 것입니다. 세 번째 단계는 컴퓨터에서 바이러스에 의해 생성된 모든 레지스트리를 정리하는 것입니다. 네 번째 단계는 스파이 헌터 맬웨어 방지 도구로 금성 바이러스를 검사하고, 5단계는 금성 바이러스에 의해 암호화된 타일을 복원하는 작업을 포함합니다.
이 글의 출처는 BleepingComputer의 기사입니다.
