{"id":24175,"date":"2022-10-26T12:14:30","date_gmt":"2022-10-26T10:14:30","guid":{"rendered":"https:\/\/www.metafrase.es\/?p=24175"},"modified":"2022-10-26T12:14:30","modified_gmt":"2022-10-26T10:14:30","slug":"venus-de-diosa-del-amor-a-esclava-del-ransomware","status":"publish","type":"post","link":"https:\/\/www.metafrase.com\/blog\/venus-de-diosa-del-amor-a-esclava-del-ransomware\/","title":{"rendered":"Venus, de Diosa del Amor, a esclava del Ransomware"},"content":{"rendered":"\n

El nuevo ransomware, Venus, especializado en escritorios remotos est\u00e1 sembrando el terror por doquier, justo lo contrario que la Diosa mitol\u00f3gica representada por el c\u00e9lebre pintor Sandro Botticelli en el 1485.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

El nacimiento de Venus, de Sandro Botticelli<\/em><\/p>\n\n\n\n

El nuevo virus est\u00e1 especializado en ataques RDP, o Protocolo por Control Remoto.<\/h2>\n\n\n\n

Las siglas en ingl\u00e9s RDP significan Remote Desktop Protocol, y son un tipo de ciberataque muy utilizado por los cibercriminales como puerta de entrada para sus amenazas. Se aprovechan de las vulnerabilidades existentes en el Sistema Operativo Windows, as\u00ed como la falta de seguridad en las credenciales utilizadas por los usuarios de las compa\u00f1\u00edas, as\u00ed como la falta de defensa en las infraestructuras cr\u00edticas de transmisi\u00f3n de datos.<\/p>\n\n\n\n

El Ransomware Venus comenz\u00f3 a mediados de agosto de 2002 y ya ha \u00abencandilado\u00bb a miles de v\u00edctimas en todo el mundo, con la gracilidad que a la Diosa Afrodita (versi\u00f3n Helena de Venus) se la conoc\u00eda.<\/p>\n\n\n\n

\u00bfC\u00f3mo ataca Venus los SO de Windows?<\/strong><\/p>\n\n\n\n

Al ejecutarse, el Ransomware finaliza la siguiente lista de 39 procesos asociados con las aplicaciones de Microsoft Office:<\/p>\n\n\n\n

taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe\n<\/code><\/pre>\n\n\n\n
Adem\u00e1s, tambi\u00e9n eliminar\u00e1 todos los registros de eventos, vol\u00famenes de instant\u00e1neas y deshabilitiar\u00e1 la prevenci\u00f3n de ejecuci\u00f3n de datos mediante el siguiente comando:<\/p>\n\n\n\n
wbadmin delete catalog -quiet && vssadmin.exe delete shadows \/all \/quiet && bcdedit.exe \/set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE<\/code><\/pre>\n\n\n\n
Posteriormente, pasar\u00e1 a la parte de cifrado de datos, agregando la extensi\u00f3n *.venus, como se muestra en la imagen siguiente, cambiando las extensiones por las suyas propias.<\/p>\n\n\n\n
\"\"
Fuente: BleepingComputer<\/em><\/figcaption><\/figure>\n\n\n\n
A dichos archivos cifrados, se les agrega un marcador de los denominados \u00abgoodgamer\u00bb, y otra informaci\u00f3n adicional al final del archivo, que a\u00fan no est\u00e1 claro su finalidad.<\/p>\n\n\n\n
El propio Ransomware crea una nota de rescate en la carpeta %Temp%, que se muestra autom\u00e1ticamente cuando termine de cifrar todo el dispositivo. En el propio mensaje, se comparte una direcci\u00f3n TOX y un correo electr\u00f3nico, para negociar el pago del rescate con el delincuente. Al final de la propia nota se puede aprecia un blob codificado en base64, propio de la clave de descifrado encriptada.<\/p>\n\n\n\n
\"\"
Fuente: BleepingComputer<\/em><\/figcaption><\/figure>\n\n\n\n
A partir de este momento, Venus se ha apoderado de nuestros datos, y no nos queda otra que ceder tratar de recuperar lo que podamos, o ceder a sus amenazas y pagar un cuantioso rescate…<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Fuente<\/em>: Bleeping Computer<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
El nuevo ransomware, Venus, especializado en escritorios remotos est\u00e1 sembrando el terror por doquier, justo lo contrario que la Diosa mitol\u00f3gica representada por el c\u00e9lebre pintor Sandro Botticelli en el 1485. El nacimiento de Venus, de Sandro Botticelli El nuevo virus est\u00e1 especializado en ataques RDP, o Protocolo por Control Remoto. Las siglas en ingl\u00e9s […]<\/p>\n","protected":false},"author":5,"featured_media":24177,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[2],"tags":[],"class_list":["post-24175","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"_links":{"self":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/24175","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/comments?post=24175"}],"version-history":[{"count":0,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/24175\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media\/24177"}],"wp:attachment":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media?parent=24175"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/categories?post=24175"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/tags?post=24175"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}