Wie das Portal BlepingComputer mitteilt, kursiert derzeit eine neue Ransomware namens „Venus“ mittels derer Hacker gezielt Windows-Systeme kompromittieren und verschlüsseln. Der Mobile Security Analyst linuxct hatte die Angriffe auf Twitter beschrieben. Anscheinend ist „Venus“ seit Auguste 2022 im Einsatz, scheint aber jetzt deutlich aktiver zu sein.
Der Schädling dringt über öffentlich zugängliche Remote-Desktop-Dienste in Netzwerke ein und verschlüsselt Dateien auf Windows-Endgeräten. Die kompromittierten Dateien erhalten dadurch eine „charakteristische“ Endung und können vom Administrator oder Bediener nicht mehr geöffnet werden.
„Venus“ räumt auf den Windows Geräten konsequent auf. Zuerst versucht die Ransomware, 39 Prozesse zu beenden, die mit Microsoft Office und Datenbankservern verbunden sind. Danach werden Ereignisprotokolle und Schattenkopien des Systems gelöscht und die Datenausführungsverhinderung deaktiviert. Danach werden die Dateien verschlüsselt. Die verschlüsselten Dateien erhalten die Endung „Venus“ und weitere Inhaltsinformationen, deren Zweck derzeit noch nicht entschlüsselt werden konnte.
Keine konkrete Lösegeldforderung
Die „Lösegeldforderung“ wird von Venus im Ordner “%TEMP%” abgelegt und nach dem Ende des Verschlüsselungsvorgangs automatisch angezeigt. In der Datei heißt es, das „Opfer“ soll mittels E-Mail, Jabber oder den Tox Messenger einen Kontakt zum Angreifer herstellen. Eine Summe wird nicht genannt, daher gehen Experten davon aus, dass die Höhe des Lösegelds individuell verhandelt wird.
Aus diesem aktuellen Grund einer wachsenden Anzahl von Ransomware-Übergriffen weisen IT-Experten darauf hin, dass Remote-Desktop-Dienste nicht öffentlich zugänglich sondern über mittels Firewall geschützt und nur per gesicherten VPN Verbindung von außen zugänglich sein sollten.