勒索软件SamSam重现江湖:赎金暴增至33000美元

国家计算机病毒应急处理中心发出病毒预警：近日，国外安全研究人员观察到，一款名为 SamSam 的勒索软件又开始肆虐，所产生的网络攻击大幅度增加，尽管最近的变种和之前相比并没有产生变化，但在与其相关的比特币地址最新一笔获取到的勒索赎金已达到33000美元。

根据国家计算机病毒应急处理中心介绍，SamSam勒索病毒主要攻击的攻击目标是基于Java的Web服务器，该病毒能够通过Jboss攻击获得远程访问，并部署web-shells使用reGeorg做内网渗透，然后在http信道之上连接RDP，最后运行批量脚本将勒索软件部署到其他机器上。

究其前世今生：起初，SamSam勒索病毒的攻击者会通过JexBoss工具对JBoss服务器执行侦查，然后利用服务器上存在的漏洞进行安装SamSam的操作，与诸如WannaCry等其他勒索软件不同的是，SamSam包含有一个通道，可以让攻击者实时的通过.onion网站与受害者进行通信，从而完成赎金交易。

前文提到，如今，这一病毒更是能够运行批量脚本将勒索软件部署到其他的机器上去，这款名为SamSam的勒索木马于2014年04月时在国外爆发，能够利用医院系统的服务器漏洞实施去入侵，通过加密病人的病史资料索取赎金，由于当时医院网络信息安全水平普遍薄弱，SamSam成功的感染了国外多家医院，并获得了不少的赎金。

让笔者感觉好玩的是，当时名为SamSam 的黑客组织甚至还规定了20到30个比特币的勒索赎金的最高限额，并设立了客服专线电话和网上聊天，受害者拨打该电话后就有专人告知如何进行付款，并在收到赎金后会及时的解锁受害者被锁定的文件。

而且，该勒索病毒能够利用 encc.myff1 与 encc.EncryptFile 加密，一旦成功的将用户的文件加密后，该勒索病毒就能够删除初始文件，但并不会清理已删除的文件扇面，允许有条件操作的用户恢复部分或者全部文件。

就能够在得到赎金后及时解锁用户的文件、留下通信地址与受害者通信甚至可以讨价还价、不主动清理已删除的文件扇面并默许受害者恢复文件的多种做法和目前正在欧洲肆虐的Petya勒索病毒相比，简直可以说是良心做法。

今年4月时，纽约的一家医院被爆感染了此勒索病毒，但院方拒绝支付黑客提出的44000美元的赎金，该病毒还被报道出于多起攻击活动相关，比如说去年在马里兰州 MedStar Heath 爆发的大型勒索事件都与之存在关系。

如今， SamSam 勒索病毒软件相关的比特币地址最新一笔赎金交易已然达到了33000美元的高额，尽管其变种和之前相比并没有产生多大的变化，这也意味着还是有受害者在持续的向病毒背后的组织或个人支付赎金来尝试着解锁自己的文件，只是不知道这些受害者支付了赎金以后，是否成功的解封了自己的文件呢！

随着各种勒索病毒的肆虐，当然也随着人们对于受制于病毒后无奈之下付出的赎金，勒索病毒背后的攻击者获得的赎金更是水涨船高。