sau khi cướp quyền điều khiển những máy chủ của họ và những mạng bằng cuộc tấn công RDP ( Remote Desktop Protocol ) .

Theo phân tích của Kaspersky , nhóm này , trước kia đã tạo và bán mã độc ngân hàng , lần đầu tiên tạo ra mã độc đòi tiền chuộc , có vẻ như là một biến thể của Xoris , đã bị phát hiện và giải mã trong tháng Ba .

Các chuyên gia cho biết mã độc này rất thô sơ vì không sử dụng thanh toán dựa trên mạng Tor mà yêu cầu người dùng liên hệ với tin tặc bằng Email và cần cài đặt theo cách thủ công .

RDP là giao thức thường được dùng  tại những công ty  lớn cho phép sysadmin để đăng nhập và quản lí những trạm làm việc từ xa . Những mạng này hầu hết đều kết nối Internet và đôi khi những nhà quản trị dùng mật khẩu quá dễ và yếu để bẻ khóa .

Kaspersky nói rằng họ đã cảnh báo sự tồn tại của mã độc đòi tiền chuộc mới này sau khi một bệnh viện tại Brazil yêu cầu họ giúp mở khóa những file đã bị mã hóa .

Trojan này , được định danh là Trojan-Ransom.Win32.Xpan , dùng mã hóa Dual AES-256 CBC và RSA-2048 để khóa dữ liệu nhưng Kaspersky đã phát hiện ra điểm yếu trong cách mã hóa của nó để tạo ra công cụ giải mã . Những nạn nhân cần công cụ giải mã này cần liên hệ với Kaspersky qua phần hỗ trợ của họ .

Xpan yêu cầu 1 Bitcoin tiền chuộc ( khoảng gần 600$ ) , và thêm một từ khóa vào Registry để mở thông báo đòi tiền chuộc mỗi khi nạn nhân cố thẻ mở những file đã bị mã hóa .

Những file bị Xpan mã hóa sẽ có phần mở rộng là .____xratteamLucked

Brazil là quốc gia cũng hay bị tin tặc tấn công máy chủ bằng giao thức RDP .