Очередной всплеск атак вируса-шифровальщика, направленных на внутренние сети компаний, был зафиксирован специалистами. Для этого хакеры задействуют общедоступную RDP. При этом пользуются они этой службой в том случае, если ее функционирование осуществляется на нестандартном порту
Проблемы возникли в конце лета. Сейчас вирусная активность сравнительно высокая. Образцы жертвами злоумышленников на ID Ransomware выкладываются ежедневно.
Вредонос во время активации ОС Windows предпринимает попытки прибить сорок процессоров, которые ассоциируются с серверами информационной базы, рядом почтовых клиентов и приложениями Microsoft Office. Кроме того, вирус нейтрализует DEP-защиту, занимается удалением теневых системных копий, занимается чисткой журнала действий.
Информация шифруется при помощи RSA и AES. В конце сведений в шифрованном виде ставится маркер и дополнительные данные. Какое их назначение, пока непонятно. К имени приписывается .venus.
Дальше в папке, где находятся временные файлы, вредонос создает файл НТА, содержащим сообщение для человека. Оно после завершения шифровки появляется в автоматическом режиме. Чтобы договориться о цене, хакеры предлагают воспользоваться TOX, e-mail или Jabber.