新型 Venus 勒索病毒正加密 Windows 设备
重点摘要
Venus 勒索病毒利用公开暴露的远程桌面服务对 Windows 设备进行加密。攻击者即便在使用非标准端口的情况下也能成功入侵企业网络。勒索病毒启动后,会试图终止与 Microsoft Office 应用和数据库服务相关的 39 个进程,并删除事件日志和快照卷。勒索笔记会生成在 Temp 文件夹中,并包含 TOX 地址以及电子邮件地址。根据 BleepingComputer 的报道,新型 Venus 勒索病毒正在通过公开暴露的 远程桌面服务 加密 Windows 设备。Venus 勒索病毒的背后攻击者利用 Windows 远程桌面协议RDP渗透企业网络,即使服务使用了非标准端口号。
猎豹cheetah加速器实施 Venus 勒索病毒时,会试图终止与 Microsoft Office 应用和数据库服务相关的 39 个进程,并会进行事件日志和快照卷的删除,同时还会关闭数据执行保护功能。勒索病毒还会在加密的文件中加入一个 goodgamer 文件标记,并附带额外的信息。
此外,勒索病毒会在 Temp 文件夹中创建一个 HTA 格式的勒索笔记,并在设备加密后立即显示。Venus 勒索病毒的勒索笔记中包含一个 TOX 地址和电子邮件地址,以及可能的加密解密密钥。
注意不建议支付赎金,因为这并不保证数据能恢复,并可能助长网络犯罪行为。务必采取措施保护网络安全,例如定期更新安全软件和使用复杂的密码。
主要特征描述加密方式利用远程桌面服务影响范围Windows 设备主要攻击手法尝试终止相关程序、删除日志和快照卷勒索笔记信息包括 TOX 地址和电子邮件地址为了保护您的设备,建议定期进行数据备份,并采取网络安全的最佳实践,以防止此类攻击的发生。
