Lecsapott a Venus zsarolóvírus

​A Venus egyre intenzívebben terjed nem megfelelően védett, távoli asztali kapcsolatokon keresztül.
 

A Venus zsarolóvírus egy viszonylag fiatal szerzeménynek számít, hiszen az első variánsát idén augusztusban sikerült leleplezniük a MalwareHunterTeam biztonsági kutatóinak. Azóta a kártékony program egyre szélesebb körben szedi az áldozatait annak ellenére, hogy az egyik méregfoga alapvető védelmi intézkedésekkel is kihúzható lenne.
 
A Venus terjedési mechanizmusának legfontosabb jellemzője, hogy távoli asztali kapcsolatokon keresztül jut be a hálózatokba, illetve kerül fel a szerverekre. Amikor ez megtörténik, akkor a rendszereken elkezdi titkosítani a fájlokat, amelyek nevét ".venus" kiterjesztéssel egészíti ki, és a fájlok végéhez különféle (jelölő) adatokat fűz hozzá. Ettől kezdve ezek az állományok használhatatlanná válnak. Annak érdekében, hogy minél több érzékeny fájlt tudjon tönkre tenni, a Venus jelenlegi variánsa 39 folyamat leállítására is képes. Így például adatbáziskiszolgálókhoz és Office alkalmazásokhoz tartozó folyamatokat sem tűr meg maga mellett. Ennél fogva zárolt állományokat is képes titkosítani.
 
A zsarolóprogram a fenti ténykedése mellett törli az eseménynaplókat, az árnyékmásolatokat és hatástalanítja a DEP (Data Execution Prevention) védelmet.
 
A Venus a fertőzés végén létrehoz egy HTA-állományt az átmeneti fájlok tárolására szolgáló mappába, majd megjeleníti azt. Ezzel tudatja a felhasználóval, hogy mi is történt a számítógépen, és miként veheti fel a kapcsolatot a támadókkal.
 
Biztonsági szakértők szerint a Venus egy újabb példája annak, hogy a távoli asztali kapcsolatok védelmére kiemelt hangsúlyt kell helyezni. Az RDP-kapcsolatokat csak VPN-mögül célszerű engedélyezni megfelelő hozzáféréskezelés alkalmazásával.