勒索软件通过弱远程桌面凭据传播
被盗或弱的远程桌面凭据经常用于感染恶意软件的销售点系统,但最近它们也成为文件加密勒索软件的常见分发方法。
3月份,研究人员发现了一个赎金软件程序,被称为正在通过TeamViewer的被盗凭据安装的惊喜,这是一个流行的远程管理工具。但趋势在此之前已经开始了,一些赎金软件变体通过Burry-Force Wastice猜测自2015年以来,通过Brute-Force密码猜测进行分发。
虽然这种感染方法最初被相对模糊的赎金软件计划使用,但最近它已被越来越多的网络犯罪分子所采用,包括诸如孤岛危机的广泛赎金软件计划背后的人。
AntiVirus公司卡巴斯基实验室的安全研究人员已经发现了一个新的赎金软件计划,这些计划受到巴西的医院和其他组织。研究人员已经命名为Trojan-ransom.Win32.xpan的威胁命名,并说它是一个名为Teamxrat的帮派的创建,它以前专注于远程访问特洛伊木马(RAT)。
根据卡巴斯基实验室的说法,TeamXRAT攻击者对互联网连接的RDP服务器的Peform Brute-Force攻击,然后在黑客服务器上手动安装XPAN Ransomware。
“不建议将远程桌面服务器直接连接到互联网,并使他们迫使他们是新的;但没有适当的控制到位,以防止或至少检测到受损机器,蛮力RDP攻击仍然是相关的,网络犯罪享受,“卡巴斯基研究人员在博客岗位上说。“一旦服务器受到损害,攻击者手动禁用安装在服务器上的防病毒产品并与感染本身进行。”
巴西在地下市场上销售的RDP服务器比任何其他国家都更加受损。其次是俄罗斯,西班牙,美国。和美国。
幸运的是,在XPAN的情况下,Ransomware作者在他们的加密实现中允许允许Kaspersky Lab在不支付赎金的情况下开发恢复受影响文件的方法。没有可下载的解密工具,但建议XPAN受害者联系安全公司的支持部门并要求提供帮助。
Ransomware程序中的加密实现错误在赎金软件程序中并不罕见,尤其是在新的程序中。但是,赎金软件开发人员通常很快就可以修复缺陷,并且更快或之后,他们的程序将最终使用强大和无法冻结的加密。