Venus Ransomware’in arkasındaki tehdit aktörleri, Windows cihazlarını şifrelemek için herkese açık Uzak Masaüstü hizmetlerini hackliyor.
Venus Ransomware, 2022 Ağustos’unun ortasında faaliyete başlamış gibi görünüyor ve o zamandan beri dünya çapında şifreli kurbanları var. Bununla birlikte, 2021’den beri aynı şifreli dosya uzantısını kullanan başka bir fidye yazılımı daha vardı, ancak bunların ilişkili olup olmadığı belirsiz.
BleepingComputer, fidye yazılımını ilk olarak , bu konuda bilgi almak için güvenlik analisti linuxct ile temasa geçen MalwareHunterTeam’den öğrendi.
Linuxct, BleepingComputer’a tehdit aktörlerinin Windows Uzak Masaüstü protokolü aracılığıyla bir kurbanın kurumsal ağına erişim kazandığını söyledi.
BleepingComputer forumlarındaki bir başka kurban da, hizmet için standart olmayan bir bağlantı noktası numarası kullanırken bile ağlarına ilk erişim için RDP kullanıldığını bildirdi.
Venus, Windows cihazlarını nasıl şifreler?
Çalıştırıldığında, Venus fidye yazılımı, veritabanı sunucuları ve Microsoft Office uygulamalarıyla ilişkili otuz dokuz işlemi sonlandırmaya çalışacaktır.
taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe
Fidye yazılımı ayrıca, aşağıdaki komutu kullanarak olay günlüklerini, Gölge Kopya Birimlerini silecek ve Veri Yürütme Engellemesi’ni devre dışı bırakacaktır:
Dosyaları şifrelerken, fidye yazılımı aşağıda gösterildiği gibi .venus uzantısını ekler. Örneğin, test.jpg adlı bir dosya şifrelenir ve test.jpg olarak yeniden adlandırılır.