Шифровальщик Venus приходит в сеть через незащищенный RDP

Эксперты зафиксировали новую волну атак шифровальщика Venus на корпоративные сети. Для входа в чужие владения злоумышленники используют публично доступную службу удаленных рабочих столов — даже в тех случаях, когда она работает на нестандартном порту.

Новые RDP-атаки, нацеленные на внедрение Venus, наблюдаются с середины августа. На настоящий момент вредоносная активность относительно высока, жертвы из разных стран выкладывают образцы на ID Ransomware каждый день.

При запуске Windows-шифровальщик пытается прибить четыре десятка процессов, ассоциируемых с серверами базы данных, приложениями Microsoft Office, почтовыми клиентами (Outlook, Thunderbird), OneNote и Firefox. Вредонос также чистит журнал событий, удаляет теневые копии Windows и отключает DEP-защиту.

Шифрование данных осуществляется с использованием AES и RSA. В конец зашифрованных файлов записываются маркер (gooodgamer) и дополнительная информация, назначение которой не установлено, а к имени добавляется расширение .venus.

В папке временных файлов создается HTA-файл с сообщением для жертвы, которое автоматически отображается по окончании шифрования. Для ведения переговоров о выкупе злоумышленники предоставляют три способа связи на выбор — имейл, Jabber и TOX.