英國安全公司Sophos于近日在一份長達47頁的調查報告中指出，自2015年12月以來，SamSam勒索軟件已從受害者手中拿走了近600萬美元，這一數據來自于Sophos的研究人員對每一個SamSam版本所提到的由攻擊者持有的比特幣錢包地址的追蹤。

報告稱，攻擊者僅從233名受害者那里就獲得了超過590萬美元，并且這個數值還在增長，每個月大約在30萬美元左右。

Sophos在報告中寫道：“總的來說，我們目前已經確定了157個已收到贖金的唯一地址，另外還有89個在贖金票據和樣本文件中提到的地址，但到目前為止還沒有收到任何付款?！?/p>

SamSam勒索軟件攻擊

SamSam之所以被研究人員重點關注，是因為它與其他勒索軟件在感染方式上有很大不同。通常來講，大多數勒索軟件都通過垃圾電子郵件活動以無計劃的方式進行分發，但SamSam卻截然不同，攻擊者會精心挑選潛在目標并手動感染系統。

攻擊者首先會在目標系統上破壞遠程桌面協議（遠程桌面協，RDP），這可以通過暴力破解或使用從暗網購買的被盜憑證來完成，然后嘗試通過利用其他系統中的漏洞在整個網絡中戰略性地部署SamSam勒索軟件。

與其他眾所周知的勒索軟件（如WannaCry和NotPetya）不同，SamSam不包含任何類似蠕蟲或病毒功能。相反，它依賴于攻擊者手動操作來進行傳播。

一旦它進入整個網絡，就會對系統的數據進行加密，并要求受害者使用比特幣支付巨額贖金（通常超過5萬美元，遠高于其他勒索軟件的贖金需求）以換取解密密鑰。

Sophos的研究人員表示，這種不同尋常的感染方式有多種好處。首先，由于是手動操作，因此它不會有失控的危險，從而不會引起不必要的注意。其次，它允許攻擊者對目標進行挑選，從而即時了解到有哪些計算機已被加密。

SamSam勒索軟件謹慎選擇目標

自2015年12月以來，SamSam一直專注于一些大型組織，包括亞特蘭大市政府、科羅拉多州交通局、多家醫院和諸如密西西比河谷州立大學這樣的教育機構。

到目前為止，單個受害者支付的最大一筆贖金約價值6.4萬美元。與大多數勒索軟件家庭相比，這個數字已經非常了不起了。

由于SamSam的受害者并沒有能夠找到任何免費的方法來恢復他們被加密的文件，很大一部分的受害者都選擇了支付贖金，這也是導致SamSam一直保持活躍的最主要原因之一。

根據Sophos的說法， 74％的已知受害者都位于美國，其次加拿大、英國和中東國家。

為了防范此威脅，Sophos建議用戶和組織務必保持定期備份，使用多因素身份驗證，限制對RDP的訪問（在端口3389上），并始終保持系統和軟件的維持在最新版本狀態。