SamSam勒索软件是一种用于目标攻击的自定义感染,通常使用广泛的利用或暴力攻击策略。根据我们与感染的接触,我们观察到攻击是通过易受攻击的JBoss主机服务器在2016年和2017年的前一波SamSam袭击中。
2018年,SAMSAM使用远程桌面协议(RDP),基于Java的Web服务器或文件传输协议(FTP)服务器中的漏洞,以访问受害者的网络或对弱密码的蛮力以获得初始立足点。从那里,勒索制造器“有趣和游戏”为作者开始。对于其他人来说,它是混乱的。
结合的关系
将所有这些攻击联系在一起的一个常见线索是在勒索信息、url甚至受感染的文件中使用“抱歉”这个词。到目前为止,它已经赚了几十万美元,并且在美国造成了无数的麻烦亚特兰大等城市.
以下是典型的赎金启动画面:
勒索信非常有趣,它提供了随机选择的文件加密选项(如果你没有支付全部金额)。他们还会免费解锁一个文件,作为信任的象征,他们会在付款后还给你文件。其内容如下:
你的文件怎么了?
使用RSA-2048加密加密的所有文件,以获取更多信息搜索Google“RSA加密”如何恢复文件?
RSA是一种非对称加密算法,你需要一个密钥加密一个密钥解密所以你需要私钥来恢复你的文件。没有私钥是不可能恢复文件的。
如何获取私钥?
你可以在3个简单的步骤得到你的私钥:
1)您必须为每台受影响的PC发送0.8个比特币或4.5个比特币,才能收到所有受影响PC的所有私钥。
2)发送0.8比特币后,用此详细信息对我们的网站发表评论:只需在您的评论中写下您的主机名
3)我们会用一个解密软件回复你的评论,你应该在你受影响的电脑上运行它,所有加密的文件将被恢复随着购买第一个关键,你会发现我们是诚实的
勒索软件的作者依赖于受害者认为他们古怪的“诚实”代码很重要,否则没有人敢付钱。
在我们进一步讨论之前,我还应该提一下,我们确实对这种特定的威胁进行了保护,我们认为赎金。央行:
自2015年底以来,SamSam集团一直在掀起波澜,2016年制造麻烦,并开始定期增加赎金的成本2017年,科罗拉多州和亚特兰大最近有Samsam的常用,因为您可能从正在进行的新闻报道中看到。
有人认为Samsam已经足够长,因为组织能够有效地处理它,但它仍然在这里,仍然锁定了目标攻击中的机器。
你可以将山姆·山姆2018年的首次亮相追溯至1月份。还有“执着”和“山姆山姆”。
1月:对不起,不要抱歉
医院,城市市政当局,以及印第安纳州的更多来自印第安纳州新墨西哥州所有人都被Samsam击倒了不同程度的严重。尤其是印第安纳州的一家医院,在暴风雨天气里只能用纸笔工作。他们决定支付赎金让系统恢复运行,因为修复的成本比赎金还高。这是一个有备份的组织,不像许多其他勒索软件受害者。尽管如此,通过攻击一个为病人提供拯救生命治疗的服务,工作人员几乎没有选择。
虽然你会发现关于支付赎金的建议是相互矛盾的,虽然我们知道每个情况都是不同的,但我们通常建议不要这样做。你把钱交出来,就等于给黑客开了绿灯让他们继续作案。如果第一次成功了,为什么第二第三次不行呢?
随着2月份的到来,医疗专业人员和负责城市服务日常管理的部门发现自己面临着令人担忧的局面。
二月:缓慢的交通忧郁
今年2月,科罗拉多运输部(Colorado Department of Transportation)不得不这么做关闭2000个(非关键)系统因为他们也受到SamSam病毒爆发的打击比特币再次成为黑客的目标;CDT决定他们我们不会付钱的,而是恢复它们的备份。
3月:亚特兰大兰森软件复苏
山姆的所有最糟糕的问题实际上都变成了亚特兰大的一大堆不幸,亚特兰大有严重的山姆布鲁斯病:
亚特兰大市目前正在经历各种客户面临的应用程序的中断,包括一些客户可能用来支付账单或访问法庭相关信息的应用程序。我们将发布任何更新,我们收到他们。pic.twitter.com/kc51rojhBl
- 亚特兰大市,乔治(@Cityofatlanta)2018年3月22日
https://platform.twitter.com/widgets.js
他们面临着每台机器支付6,800美元的前景,以解锁加密文件,或者冷却51,000美元,以恢复所有受损计算机的所有内容。至于攻击者如何进入,一位研究人员指出了一个潜在的Eternalblue路线:
来吧@cityofatlanta.... SMBV1在web.atlantaga [。] Gov到互联网上?我们什么都学到了!?#ransomware.#亚特兰大pic.twitter.com/t35saltcee.
——雷吉(@Ring0x0)2018年3月23日
https://platform.twitter.com/widgets.js
不管使用的方法是什么,这里的大问题是,在最初感染病毒10天后,他们仍在努力恢复全力,在最初的恶意软件爆炸中,13个部门中至少有5个遭到了攻击。就像印第安纳州的医院工作人员被迫使用纸笔一样,亚特兰大的执法人员也是如此——他们也是失去了一些警察的记录在讨价还价。
请注意,三名市议会员工必须在“笨重的个人笔记本电脑上”。所以现在我们正在将个人机器推出到处理潜在敏感数据的网络上,已经敲诈投机取巧的恶意软件感染.人们希望这台机器至少已经检查过感染或潜在的漏洞,但如果已经很忙的it员工检查了该员工是否已经安装了所有的安全补丁,那将是令人惊讶的。
你可以说赎金是“只有”51,000美元 - 除了赎金软件作者撤回了支付页面,左亚特兰大携带罐头。最终,Samsam爆发费用亚特兰大市是一个可怕的260万美元设置50万美元的感染。
它不只是修理一些电脑。从法医和保险到额外的员工和危机通信,一切都需要考虑。这是试图从感染中恢复的真正成本——而且是在尝试提供的同时面对面的服务可能受到攻击的影响。
战斗ransomware
勒索软件可能正在经历一个流行下降但毫无疑问,其影响可能是可怕的。提醒一下,以下是地方政府和其他组织抵御这些攻击的一些方法:
- 备份是必不可少的,并有助于减少勒索软件攻击的影响。提醒一句:您的备份必须是合乎逻辑的,并且在需要时易于实现。很多时候,公司把所有的东西都扔进了一堆乱七八糟的文件和文件夹里,重复的东西太多了,而且没有真正的指示告诉它们应该放在哪里。
- 员工培训。有争议的是,已经就位的自动化系统应该在攻击到达你的网络的人类组成部分之前很久就能阻止攻击,但给员工上安全基础的速成课总是一个好主意。
- 垃圾邮件过滤基于电子邮件的攻击(假PDF发票,Booby被困的Word文档,坚持启用宏等)。
- 针对互联网禁用不必要的暴露服务,这是一种久经考验的勒索软件感染方式。
- 在所有系统和服务上更改默认/易于猜测的密码(不仅仅是“重要的”,因为最终有人会在据说不重要的人中找到他们的方式。
- 选择你的供应商明智的.
山姆:没走,也没被遗忘
金钱让世界变得圆满,而对于SAMSAM他们的选择是比特币。毫不掩饰,生意很好;他们估计已经绞尽了850000美元左右而且他们没有任何放缓的迹象。考虑到他们估计的85万美元的利润仍然远不及亚特兰大市的恢复成本,然后再考虑到目前为止每个受影响的人的清理成本。
无论你在线的原因,无论你在线运作,我都认为我们都可以在为安全威胁分配预算时,我们都同意避免攻击,如上面的攻击应该是最重要的。Samsam不会很快进入,不幸的是,对于等待罢工的其他感染可以说也是如此。它只需要一个不懈的时刻,你确实可以面对一些困难的决定。
感谢Marcelo提供的截图和其他信息。
评论