BleepingComputer publicó datos obtenidos a través de MalwareHunterTeam, quien fue contactado por el analista de seguridad Linuxct en busca de información al respecto. Linux dijo que los atacantes obtuvieron acceso a la red corporativa de la víctima a través del protocolo de escritorio remoto de Windows.
Cómo cifra Venus los dispositivos Windows
Cuando se ejecuta, el ransomware Venus intentará finalizar treinta y nueve procesos asociados con servidores de bases de datos y aplicaciones de Microsoft Office.
El ransomware también elimina los registros de eventos y los volúmenes de instantáneas y deshabilita la prevención de ejecución de datos mediante el siguiente comando:
wbadmin delete catalog quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE
En cada archivo cifrado, el ransomware agrega un marcador de archivo 'goodgamer' y otra información al final del archivo. No está claro cuál es esta información adicional en este momento.
El ransomware crea una nota de rescate HTA en la carpeta %Temp% que se mostrará automáticamente cuando el ransomware termine de cifrar el dispositivo.
El ransomware comparte una dirección TOX y una dirección de correo electrónico que se pueden usar para contactar al atacante para negociar el pago de un rescate. Al final de la nota de rescate hay un blob codificado en Base64, que probablemente sea la clave de descifrado cifrada.
En este momento, el ransomware Venus está bastante activo, con nuevos envíos cargados a ID Ransomware diariamente.
Dado que el ransomware parece tener como objetivo los servicios de escritorio remoto expuestos públicamente, incluso aquellos que se ejecutan en puertos TCP no estándar, es vital proteger estos servicios con un firewall.
Idealmente, ningún servicio de escritorio remoto debe estar expuesto públicamente en Internet y solo debe ser ac cesible a través de una VPN.
Fuente: BC