美國一家醫院支付5.5萬美元的贖金：以擺脫SamSam勒索軟體

近日，美國印第安納州漢考克地區的一家醫院被迫向黑客支付了價值5.5萬美元的比特幣贖金，以求儘快擺脫勒索軟體對其計算機設備的控制。

美國這家醫院的工作人員在2018年01月11日時發現，黑客組織影響了醫院的電子郵件和健康記錄，不過患者的數據並沒有被黑客獲取。

隨後，安全研究人員對此展開了調查，發現黑客利用SamSam勒索軟體加密了部分醫院的文件，並將文件的後綴全部修改為「I』msorry」。

醫院立即展開了緊急應對措施：通過專業IT人員介入暫停了醫院的整個網路系統；要求員工關閉所有計算機，防止勒索軟體通過區域網感染其他計算機；更有傳言稱，醫院的醫護人員開始使用筆和紙來代替計算機繼續工作。

其後，醫院表示，儘管文件都有備份，但從備份中恢復文件是一件很麻煩的事情，因為這需要把所有的系統投入到運行需要幾天甚至幾周的時間，基於此才不得不向黑客組織支付了贖金。

我們指導，SamSam勒索軟體主要是通過開放的RDP埠進行傳播的，而分析此次醫院遭到SamSam勒索軟體入侵的原因，則是黑客暴力破解了醫院系統的RDP埠，達到再更多計算機設備上部署SamSam勒索軟體的目的。

實際上，SamSam勒索軟體早在兩年前就出現過了，筆者有幸在2017年07月時分析過該勒索軟體，當時其關聯的比特幣地址上獲取到的最新一筆贖金已經達到了33000美元。

SamSam勒索病毒主要攻擊的攻擊目標是基於Java的Web伺服器，該病毒能夠通過Jboss攻擊獲得遠程訪問，並部署web-shells使用reGeorg做內網滲透，然後在http信道之上連接RDP，最後運行批量腳本將勒索軟體部署到其他機器上。

與WannaCry等其他勒索軟體不同的是，SamSam包含有一個通道，可以讓攻擊者實時的通過.onion網站與受害者進行通信，從而完成贖金交易。

實際上，這也不是筆者第一次分析的企業向勒索軟體繳械妥協、繳納贖金的案例，2017年6月份時候，韓國網路服務託管商Nayana遭到了勒索軟體攻擊，被迫支付贖金恢複數據，但後來到底是否得以恢復我們沒有繼續追蹤。

而時間到了2017年11月時，Nayana公司再度遭到勒索攻擊，這次有沒有選擇向黑客組織支付贖金，我們也沒有掌握具體的資料。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！