巴西医院遭受RDP暴力攻击，感染勒索软件

总部在巴西的黑客组织TeamXRat创建了自己的勒索软件变体，该组织通过远程桌面协议（RDP）暴力破解攻击控制了多家医院和当地公司的服务器和网络。

该组织此前曾创建和出售银行恶意软件，据卡巴斯基实验室分析，这是他们首次尝试创建勒索软件，似乎是今年三月检测并解密的勒索软件Xorist的衍生体。

研究人员表示这款勒索软件尚且粗糙，因为它没有使用基于Tor的支付网站，需要用户通过电子邮件与攻击者联系，并且需要手动安装。

TeamXRat通过未受保护的RDP服务黑进服务器

为了寻找安装恶意软件的位置，攻击者针对巴西公司和国家机构中暴力于互联网中的RDP服务器进行了暴力破解攻击。

RDP是一个常用于大型公司的协议，允许系统管理员登录和管理远程工作站。大部分时间，它们暴露于互联网中，而不仅仅在公司的内部网使用，有时会使用弱的、易于破解的密码。

卡巴斯基表示接到一家不愿透露名称的巴西医院的请求，为他们解锁文件，才意识到这款新的勒索软件变体的存在。

Xpan勒索软件可以被破解

这款勒索软件被检测为Trojan-Ransom.Win32.Xpan，使用AES-256 CBC 和RSA-2048加密算法锁定文件。但卡巴斯基表示已查明其加密算法的弱点，员工已创建了解密器。需要这款解密器的受害者可以通过其支持部门联系卡巴斯基。

Xpan其余的行为和大多数勒索软件变体相似。Xpan将用户文件锁定、改变壁纸、索要1比特币赎金，并且每当用户试图打开加密文件时都会增加一个注册表项。

用户可以通过查看自定义文件扩展名确定自己是否受到感染，被上锁的文件后缀为.____xratteamLucked。

TeamXRat已不是巴西第一个创建勒索软件的黑客组织。过去安全公司曾检测到基于Hidden Tear开源勒索软件工具包的TorLocker和多个勒索软件家族。巴西的恶意软件通常以垃圾邮件和银行木马而居多。

6月份卡巴斯基发现xDedic，这是一个出售被攻击服务器的市场，巴西是RDP服务器被攻击最多的国家。