In letzter Zeit ist eine neue Ransomware namens Venus aufgetaucht die es auf öffentlich zugängliche Remote-Desktop-Dienste abgesehen hat. Die Schadsoftware dringt über das Remote-Desktop-Protokoll (RDP) in Netzwerke ein und verschlüsselt daraufhin alle Dateien auf Windows-Geräten. Die Ransomware Venus nutzt eine charakteristische Dateiendung • die bereits von einer anderen Ransomware verwendet wurde • die im Jahr 2021 aktiv war. Ob es sich dabei lediglich um eine zufällige Übereinstimmung handelt oder ob es eine Verbindung zwischen den beiden schadhaften Anwendungen gibt ist noch unklar.
Wie funktioniert Venus?
Um in ein Netzwerk einzudringen, nutzt Venus öffentlich zugängliche RDP-Dienste. Auf einem infizierten Windows-Gerät versucht die Ransomware zuerst, 39 Prozesse zu beenden die mit Datenbankservern und Microsoft Office in Verbindung stehen. Daraufhin löscht sie Ereignisprotokolle und Schattenkopien des Systems und deaktiviert die Datenausführungsverhinderung. Anschließend beginnt die Ransomware mit der Verschlüsselung der Dateien. Bereits verschlüsselte Dateien markiert die bösartige Software mit der Dateinamenserweiterung “.venus“. Eine Datei mit dem ursprünglichen Namen “test.jpg” wird demnach zu “test.jpg.venus“.
Was fordert die Lösegeldforderung von Venus?
Nach der Verschlüsselung der Dateien zeigt Venus automatisch eine Lösegeldforderung an. Die Ransomware fordert das Opfer auf » Kontakt mit den Angreifern aufzunehmen « um seine verschlüsselten Dateien wieder entschlüsseln zu können. Venus bietet als Kontaktmöglichkeiten E-Mail, Jabber oder den Tox Messenger an. Im Gegensatz zu anderen Ransomware-Varianten nennt Venus keinen pauschalen Geldbetrag. Die tatsächliche Höhe des Lösegeldes scheint verhandelbar zu sein.
Wie kann man sich gegen Venus schützen?
Es ist nicht empfehlenswert, Remote-Desktop-Dienste öffentlich über das Internet zugänglich zu machen. Auch eine alternative Portnummer für den Dienst bietet keinen Schutz vor Venus. Der Zugang zu solchen Diensten sollte immer durch eine Firewall geschützt und von außen nur über eine gesicherte VPN-Verbindung erreichbar sein.
Kommentare
Die Ransomware Venus nutzt öffentlich zugängliche RDP-Dienste um in Netzwerke einzudringen und Windows-Systeme zu verschlüsseln. Die Schadsoftware fordert das Opfer auf » Kontakt mit den Angreifern aufzunehmen « um den Zugriff auf seine Dateien wiederzuerlangen. Um sich vor Venus und ähnlichen Bedrohungen zu schützen ist es wichtig, Remote-Desktop-Dienste durch eine Firewall zu sichern und über eine gesicherte VPN-Verbindung zu erreichen.