MalwareHunterTeam 本周发现了两个新的 Matrix Ransomware 变体，这些变体正在通过被黑客入侵的远程桌面服务进行安装。尽管这两种变体都会对计算机的文件进行加密，但其中一种更加先进，可提供更多调试消息并使用密码来擦除可用空间。

...

RDP 和 WInRM 中使用的 CredSSP 协议（安全加密 Windows 用户远程登录过程）中出现严重漏洞，影响所有版本的 Windows。

...

外媒 1 月 16 日消息，美国印第安纳州汉考克地区一家医院（Hancock Health）被迫向黑客组织支付了价值 5.5 万美元的比特币赎金，以尽快摆脱勒索软件 “ SamSam ” 对其计算机设备的控制。据悉，该黑客组织通过暴力破解 RDP 端口，达到在更多的计算机设备上部署 SamSam 勒索软件的目的。

上周四（ 1 月 11 日），Hancock Health 的工作人员发现黑客组织影响了医院的电子邮件和健康记录，但并没有窃取患者数据 。随后，经过相关研究人员展开调查发现，该组织使用 SamSam 勒索软件加密文件，并将文件重命名为“ I'm sorry ”。其实 SamSam 早在两年前就已出现过， 主要通过开放的 RDP 端口进行传播。

目前 Hancock Health 紧急采取了应对措施，例如通过 IT 人员介入暂停了整个网络；要求员工关闭所有计算机，以避免勒索软件传播到其他计算机；更有传言称医护人员利用笔和纸代替计算机来继续工作。

...

安全人员近期发现暗网里的部分网站正在销售企业内部设备的 RDP 远程桌面协议的凭证，以便直接访问目标企业内网。据悉，这种不需要借助恶意软件和木马病毒就可窥探企业内网的凭证，目前正在暗网逐渐兴起并产生市场竞争。

...

据外媒 8 月 14 日报道，网络安全公司 Rapid7 专家近期通过分析远程桌面协议（ RDP ）端点的数据时发现 RDP 在线暴露逾了 410 万台 Windows 终端。

Rapid7 曾于今年 5 月发表一份研究报告，揭示数百万设备因 SMB、Telnet、RDP 与其他类型的配置错误遭受网络攻击。相关数据显示， 今年第一季度的 RDP 开放终端与 2016 年初（ 1080 万台 ）相比 “ 减少 ” 360 万台。

安全专家指出，即使用户在 Windows 上默认禁用 RDP 协议，它通常也会允许管理人员在内部网络中运行与维护。据悉，微软自 2002 年以来就已处理过数十处 RDP 漏洞，其中包括影子经纪人曾在线曝光的安全漏洞 EsteemAudit（CVE-2017-0176），旨在攻击远程桌面协议服务（ 端口 3389 ）。远程桌面协议攻击是恶意软件分发的特权攻击载体。目前，多数恶意软件已使用远程桌面协议（CrySiS、 Dharma 与 SamSam）作为攻击来源系统。

...