Le rançongiciel Venus crypte de nombreux systèmes Windows et pénètre les réseaux via des services RDP accessibles au public.

Le rançongiciel Venus pénètre dans les réseaux via des services de bureau à distance accessibles au public pour chiffrer les fichiers sur les appareils Windows, qui reçoivent ensuite une extension de fichier caractéristique. La demande de rançon est apparemment basée sur la négociation et au lieu de payer directement un montant fixe, propose de contacter le créateur du logiciel malveillant.

Venus pénètre les réseaux via des points d’accès RDP publics

Un nouveau rançongiciel appelé « Vénus” cible les services de bureau à distance destinés au public. Les attaquants accèdent aux réseaux d’entreprise via le Remote Desktop Protocol (RDP) afin de chiffrer ensuite les appareils Windows qu’ils contiennent. L’analyste de la sécurité mobile linuxct a pour la première fois attiré l’attention sur le malware actuellement très actif via Twitter.

Et même si Venus ne semble être utilisé que depuis août 2022 selon les connaissances actuelles, il utilise la même extension de fichier pour ses fichiers cryptés que d’autres ransomwares qui faisaient déjà des bêtises en 2021. Selon BleepingComputer, on ne sait toujours pas si les deux applications malveillantes sont liées.

Les fichiers cryptés par Venus reçoivent une extension de fichier distinctive

Dans un premier temps, Venus tente de mettre fin à 39 processus liés aux serveurs de base de données et à Microsoft Office sur un appareil Windows infecté. Il efface ensuite les journaux d’événements et les clichés instantanés du système et désactive DEP. Le ransomware commence alors à le crypter.

Le logiciel malveillant marque les fichiers déjà cryptés avec l’extension de nom de fichier « .Vénus“. Un fichier avec le nom d’origine « test.jpg » devient donc « test.jpg.venus“. Venus ajoute également des informations supplémentaires au contenu du fichier, dont le but n’est actuellement pas clair.

Le ransomware demande juste à être contacté

Dans le dossier « %TEMP% » le rançongiciel finit par créer un fichier contenant le « demande de rançon » contient. Vénus l’affiche automatiquement après un cryptage complet. Selon le rapport, la victime devrait contacter les attaquants afin de pouvoir décrypter à nouveau ses fichiers cryptés. Venus propose le courrier électronique, Jabber ou Tox Messenger comme options de contact. Le montant réel de la rançon est donc évidemment une question de négociation. Les assaillants n’ont pas nommé de somme d’argent forfaitaire. Contrairement au rançongiciel DeadBolt récemment trompé par la police néerlandaise.

En général, il n’est pas recommandé de rendre les services de bureau à distance accessibles au public sur Internet. Même si un numéro de port alternatif est utilisé pour le service, ce n’est pas un obstacle pour Venus.Un tel accès doit toujours être protégé par un pare-feu et ne doit être accessible que de l’extérieur via une connexion VPN sécurisée.