Эксперты зафиксировали новую волну атак шифровальщика Venus на корпоративные сети. Для входа в чужие владения злоумышленники используют публично доступную службу удаленных рабочих столов — даже в тех случаях, когда она работает на нестандартном порту.
Новые RDP-атаки, нацеленные на внедрение Venus, наблюдаются с середины августа. На настоящий момент вредоносная активность относительно высока, жертвы из разных стран выкладывают образцы на ID Ransomware каждый день.
При запуске Windows-шифровальщик пытается прибить четыре десятка процессов, ассоциируемых с серверами базы данных, приложениями Microsoft Office, почтовыми клиентами (Outlook, Thunderbird), OneNote и Firefox. Вредонос также чистит журнал событий, удаляет теневые копии Windows и отключает DEP-защиту.
Шифрование данных осуществляется с использованием AES и RSA. В конец зашифрованных файлов записываются маркер (gooodgamer) и дополнительная информация, назначение которой не установлено, а к имени добавляется расширение .venus.
В папке временных файлов создается HTA-файл с сообщением для жертвы, которое автоматически отображается по окончании шифрования. Для ведения переговоров о выкупе злоумышленники предоставляют три способа связи на выбор — имейл, Jabber и TOX.