SamSam勒索软件重现江湖：医院、市政府、ICS公司纷纷中招

2018年伊始，SamSam勒索软件就已经高举复苏旗帜，袭击了多个备受瞩目的目标，包括医院、市议会以及ICS（工业控制系统）公司。

根据相关报道显示，截至目前，SamSam勒索软件的攻击目标包括美国印第安纳州格林菲尔德的汉考克健康医院、印第安纳州迪凯特的亚当斯纪念医院、新墨西哥州法明顿自治市政府、基于云的EHR（电子健康记录）提供者Allscripts、美国一家未知名的ICS（工业控制系统）公司等。

其中汉考克健康医院已经承认，尽管存有备份，但是为了应对美国即将到来的“流感季”，该医院最终还是选择支付攻击者4比特币（约合55000美元）的赎金来解锁数据，其他受害者尚未针对此次勒索事件给出任何回复。

证据表明SamSam勒索运动正在活跃

在其中三起事件中，受害者均表示SamSam勒索软件锁定了他们的文件，并显示一则含有“sorry”一词的赎金通知，通知中解释了“文件发生了什么？”、“如何恢复文件？”、“如何获取私钥？”以及“如何访问我们的站点？”等问题。下图为新墨西哥州法明顿市政府发布的有关该勒索软件的赎金通知截图：

通过分析这份赎金通知，我们获悉了有关SamSam勒索软件最近的感染情况。根据ID-Ransomware服务提供的数据显示，仅在2018年1月份就已经有17份与SamSam相关的文件提交给了该服务。

SamSam勒索软件（也被称为“SAMAS”勒索软件）背后的操作者会对互联网上的电脑进行扫描来寻找开放的RDP连接，随后攻击者便会通过暴力破解RDP来进行入侵，然后驻足网络实现进一步传播。

SamSam勒索软件具体的赎金通知和扩展名通常会因受害者而异。不过，尽管如此，根据法明顿市政府提供的截图信息，我们可以确定，从2017年12月26日以来，这种使用“0000-SORRY-FOR-FILES.html”为赎金通知扩展名的SamSam版本已经至少感染了8个实体。受害者多来自美国，也包含少数来自加拿大和印度的受害者。此外，据其他一些受害者报道称，其文件是用.weapologize的扩展名进行加密的。

攻击者已经获利30万美元

根据调查显示，上述赎金通知中使用的比特币钱包地址于12月25日收到了第一笔交易，随后又在接下来的赎金付款中收到了更多的钱。截至目前，该钱包账户已经持有26个比特币，价值近30万美元。该犯罪团伙很有可能会在不久的将来攻击更多受害者来获取更多收益。

事实证明，越来越多的网络犯罪分子正在通过滥用Windows远程桌面协议（RDP）来传播勒索软件，针对这种威胁，安全专家建议各企业应采取以下预防措施：

当不需要使用RDP，请确保它处于关闭状态；
考虑使用虚拟专用网络（VPN）从网络外部进行连接；
尽可能使用双因素认证（2FA）；
经常并且尽早安装安全补丁；
在被攻击后，留意攻击者的活动；
设置锁定策略来限制密码猜测攻击。
当然，还有一个最值得注意但往往被忽视的预防措施就是定期备份敏感数据。