什么是SamSam Ransomware以及如何保护您的组织免受攻击
SamSam是一个勒索软件家族,自2015年以来一直存在。它具有这种操作的所有经典特征:骗子将恶意程序偷偷带入Windows计算机,加密受害者的文件,然后要求赎金以释放数据。没有任何革命性的或开创性的。然后,什么使SamSam分开?
Table of Contents
强加密
信不信由你,这些天推出勒索软件活动并不困难。事实上,很多人对计算机知之甚少,这很容易。不幸的是,有一些公开的勒索软件家族很容易被一些无辜的人来,修改和使用。好消息是,很多这些开源项目并不是很擅长他们的设计目标。有时,他们使用相对容易破解的加密算法;有时,加密密钥以简单的形式留在受害者的计算机上;有时候,所有受害者都使用同一把钥匙。因此,通常可以在不支付赎金甚至从备份恢复的情况下恢复信息。
不幸的是,SamSam并非如此。当它落在计算机上时,它首先使用Rijndael密码加密文件。 Rijndael是高级加密标准的基础 - 这是世界上最强大的加密算法之一。但是,如果您有Rijndael密钥,则可以撤消加密。这就是为什么在加扰数据之后,SamSam使用RSA 2048来加密Rijndael密钥本身。
RSA以发明非对称密码系统的科学家Ron Rivest,Adi Shamir和Leonard Adleman的名字命名。它是非对称的,因为它使用一个(公共)密钥加密数据,而另一个(私有)密钥用于解密数据。毋庸置疑,当SamSam骗子攻击时,他们持有解密Rijndael密钥的私钥,后者反过来解密文件。如果您没有备份,除了支付赎金或亲吻您的数据之外,您别无选择。
SamSam运营商对您的文件不感兴趣
与许多其他勒索软件团伙不同,希望通过承诺你再也不会看到你的家庭照片来吓唬你了,SamSam工作人员的目标是那些不可避免的停电影响了大量人群的组织。
在过去两年半的时间里,SamSam勒索软件实际上已经引起了大型和小型组织的一些重大安全事件。仅从今年年初开始,它一直负责Allscripts,电子健康记录提供商,印第安纳州亚特兰大纪念馆和汉考克健康医院,亚特兰大市以及最近的LabCorp的停电事故。
这些攻击经过深思熟虑,正如你所看到的,尽管我们看到它们也是针对地方政府的,但SamSam团伙往往是在医疗保健组织之后。原因很简单 - 医院和医疗保健组织负责处理一些极其敏感的信息,没有它,他们根本无法维持任何类型的操作。这意味着当SamSam锁定这些数据时,骗子可以要求更多的钱。
事实上,SamSam通常偷偷摸摸地走到受害者网络上的大多数计算机上,骗子要求数千美元用于解密一台PC,数万美元用于使整个网络恢复正常. 3月份, 公民社会组织计算出 ,在短短几个月内,SamSam团伙设法掏出约85万美元的比特币(当时的价格)。从事物的外观来看,它是一个重要的,相当有利可图的业务。犯罪分子不太可能很快放弃它。
感染媒介
渗透计算机网络的最便宜和最简单的方法是欺骗用户执行文件或点击链接。这就是为什么所谓的malspam电子邮件和Office Macros在网络犯罪中如此受欢迎。这是一种“喷雾和祈祷”的策略。 SamSam操作员不做“喷洒和祈祷”。
有证据表明,他们在发动袭击之前会仔细计划攻击并进行一些侦察。感染向量因攻击而异,但通常情况下,SamSam团队通过利用面向公众的网络组件中未修补的漏洞或通过强制使用远程桌面协议(或RDP)的用户名和密码来破解。
这意味着保护您的组织免受SamSam攻击并不像遵循几个步骤那么容易。如果您的系统中存在弱点,SamSam操作员会找到它,并且他们不会害怕使用它。保护自己的唯一真正方法是保持新鲜和有效的备份,检查所有安全和密码策略,保护您能想到的每个组件,并保持警惕。