Nucleon Security Vs Venus Ransomware

Cybersécurité + Cybercrime + Ransomware Nucleon Security aujourd'hui08/11/2022 1649 3

Background
share fermer

Qu'est-ce que Venus Ransomware ?

Venus est un rançongiciel découvert par un chercheur de logiciels malveillants appelé S!Ri. Sa fonction principale est le cryptage des fichiers et du système, tous les fichiers concernés sont modifiés avec une extension .venus comme indiqué dans la figure ci-dessous. Après avoir crypté toutes les données, le fond d'écran est remplacé par une note demandant aux victimes de payer pour décrypter leurs données

 

Comment infecte-t-il les hôtes ?

Le ransomware Venus semble cibler les services de bureau à distance accessibles au public qui sont basés sur  Remote Desktop Protocol(RDP), quels que soient ceux qui s'exécutent sur des ports TCP non standard.

Comment se comporte ce rançongiciel ?

Exécuté sur la machine cible, le rançongiciel Venus tentera de mettre fin à tous les processus (comme indiqué ci-dessous) associés principalement aux serveurs de base de données et aux applications Microsoft Office.

Le ransomware efface également les journaux d'événements, les clichés instantanés et désactive DEP (Data Execution Prevention) à l'aide de la commande suivante :

lorsque le cryptage est terminé, une note de rançon HTA (application HTML) apparaîtra automatiquement comme indiqué ci-dessous

pastedGraphic.png

Lors de l'exécution de Venus Ransomware, le Nucleon EDR capturé les activités du réseau comme indiqué ci-dessous, et il semble que le ransomware envoie des données aux adresses locales via le port 9

pastedGraphic_1.png

Plus d'informations sur l'utilisation du port 9