Qu'est-ce que Venus Ransomware ?
Venus est un rançongiciel découvert par un chercheur de logiciels malveillants appelé S!Ri. Sa fonction principale est le cryptage des fichiers et du système, tous les fichiers concernés sont modifiés avec une extension .venus comme indiqué dans la figure ci-dessous. Après avoir crypté toutes les données, le fond d'écran est remplacé par une note demandant aux victimes de payer pour décrypter leurs données
Comment infecte-t-il les hôtes ?
Le ransomware Venus semble cibler les services de bureau à distance accessibles au public qui sont basés sur Remote Desktop Protocol(RDP), quels que soient ceux qui s'exécutent sur des ports TCP non standard.
Comment se comporte ce rançongiciel ?
Exécuté sur la machine cible, le rançongiciel Venus tentera de mettre fin à tous les processus (comme indiqué ci-dessous) associés principalement aux serveurs de base de données et aux applications Microsoft Office.
Le ransomware efface également les journaux d'événements, les clichés instantanés et désactive DEP (Data Execution Prevention) à l'aide de la commande suivante :
lorsque le cryptage est terminé, une note de rançon HTA (application HTML) apparaîtra automatiquement comme indiqué ci-dessous
Lors de l'exécution de Venus Ransomware, le Nucleon EDR capturé les activités du réseau comme indiqué ci-dessous, et il semble que le ransomware envoie des données aux adresses locales via le port 9
Plus d'informations sur l'utilisation du port 9