Venus, de Diosa del Amor, a esclava del Ransomware

El nuevo ransomware, Venus, especializado en escritorios remotos está sembrando el terror por doquier, justo lo contrario que la Diosa mitológica representada por el célebre pintor Sandro Botticelli en el 1485.

El nacimiento de Venus, de Sandro Botticelli

El nuevo virus está especializado en ataques RDP, o Protocolo por Control Remoto.

Las siglas en inglés RDP significan Remote Desktop Protocol, y son un tipo de ciberataque muy utilizado por los cibercriminales como puerta de entrada para sus amenazas. Se aprovechan de las vulnerabilidades existentes en el Sistema Operativo Windows, así como la falta de seguridad en las credenciales utilizadas por los usuarios de las compañías, así como la falta de defensa en las infraestructuras críticas de transmisión de datos.

El Ransomware Venus comenzó a mediados de agosto de 2002 y ya ha «encandilado» a miles de víctimas en todo el mundo, con la gracilidad que a la Diosa Afrodita (versión Helena de Venus) se la conocía.

¿Cómo ataca Venus los SO de Windows?

Al ejecutarse, el Ransomware finaliza la siguiente lista de 39 procesos asociados con las aplicaciones de Microsoft Office:

taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe

Además, también eliminará todos los registros de eventos, volúmenes de instantáneas y deshabilitiará la prevención de ejecución de datos mediante el siguiente comando:

wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE

Posteriormente, pasará a la parte de cifrado de datos, agregando la extensión *.venus, como se muestra en la imagen siguiente, cambiando las extensiones por las suyas propias.

Fuente: BleepingComputer

A dichos archivos cifrados, se les agrega un marcador de los denominados «goodgamer», y otra información adicional al final del archivo, que aún no está claro su finalidad.

El propio Ransomware crea una nota de rescate en la carpeta %Temp%, que se muestra automáticamente cuando termine de cifrar todo el dispositivo. En el propio mensaje, se comparte una dirección TOX y un correo electrónico, para negociar el pago del rescate con el delincuente. Al final de la propia nota se puede aprecia un blob codificado en base64, propio de la clave de descifrado encriptada.

Fuente: BleepingComputer

A partir de este momento, Venus se ha apoderado de nuestros datos, y no nos queda otra que ceder tratar de recuperar lo que podamos, o ceder a sus amenazas y pagar un cuantioso rescate…

Fuente: Bleeping Computer

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.