被盗的或弱的远程桌面凭据经常被用来用恶意软件感染销售点系统,但最近它们也成为文件加密勒索软件的一种常见分发方法。
今年3月,研究人员发现了一个名为“惊喜”的勒索程序,该程序是通过窃取远程管理工具TeamViewer的证书安装的。但这种趋势早在那之前就已经开始了,自2015年以来,一些勒索软件变种就通过对远程桌面协议(Remote Desktop Protocol, RDP)服务器的恶意密码猜测攻击而传播开来。
虽然这种感染方法最初被一些相对不知名的勒索程序所使用,但最近它被越来越多的网络罪犯所采用,包括那些大范围传播的勒索程序,比如《孤岛危机》(Crysis)。
杀毒公司卡巴斯基实验室(Kaspersky Lab)的安全研究人员发现,一种新的勒索软件程序影响了巴西的医院和其他组织。研究人员将这种威胁命名为Trojan-Ransom.Win32。Xpan,并说它是一个名为TeamXRat的团伙创建的,该团伙以前专门从事远程访问木马(rat)。
根据卡巴斯基实验室,TeamXRat攻击者对连接互联网的RDP服务器进行了暴力攻击,然后在被攻击的服务器上手动安装了Xpan勒索软件。
“不建议将远程桌面服务器直接连接到互联网,强行使用也不是什么新鲜事;但是没有适当的控制在适当的地方,以防止或至少检测和回应被破坏的机器,暴力的RDP攻击仍然是相关的和网络罪犯享受的东西,”卡巴斯基研究人员说博客。“一旦服务器被攻破,攻击者会手动禁用服务器上安装的防病毒产品,并继续感染。”
巴西在地下市场上出售的RDP服务器比其他任何国家都要多。紧随其后的是俄罗斯、西班牙、英国和美国
幸运的是,在Xpan的案例中,勒索软件的作者在加密实现中犯了一个错误,这使得卡巴斯基实验室开发了一种方法,可以在不支付赎金的情况下恢复受影响的文件。没有可下载的解密工具,但是Xpan的受害者被建议联系安全公司的支持部门并寻求帮助。
加密执行错误在勒索程序中并不罕见,尤其是在新程序中。不过,勒索软件开发者通常会很快修复漏洞,他们的程序迟早会使用强大、牢不可破的加密技术。