英国安全公司Sophos于近日在一份长达47页的调查报告中指出，自2015年12月以来，SamSam勒索软件已从受害者手中拿走了近600万美元，这一数据来自于Sophos的研究人员对每一个SamSam版本所提到的由攻击者持有的比特币钱包地址的追踪。

报告称，攻击者仅从233名受害者那里就获得了超过590万美元，并且这个数值还在增长，每个月大约在30万美元左右。

Sophos在报告中写道：“总的来说，我们目前已经确定了157个已收到赎金的唯一地址，另外还有89个在赎金票据和样本文件中提到的地址，但到目前为止还没有收到任何付款。”

SamSam勒索软件攻击

SamSam之所以被研究人员重点关注，是因为它与其他勒索软件在感染方式上有很大不同。通常来讲，大多数勒索软件都通过垃圾电子邮件活动以无计划的方式进行分发，但SamSam却截然不同，攻击者会精心挑选潜在目标并手动感染系统。

攻击者首先会在目标系统上破坏远程桌面协议（远程桌面协，RDP），这可以通过暴力破解或使用从暗网购买的被盗凭证来完成，然后尝试通过利用其他系统中的漏洞在整个网络中战略性地部署SamSam勒索软件。

与其他众所周知的勒索软件（如WannaCry和NotPetya）不同，SamSam不包含任何类似蠕虫或病毒功能。相反，它依赖于攻击者手动操作来进行传播。

一旦它进入整个网络，就会对系统的数据进行加密，并要求受害者使用比特币支付巨额赎金（通常超过5万美元，远高于其他勒索软件的赎金需求）以换取解密密钥。

Sophos的研究人员表示，这种不同寻常的感染方式有多种好处。首先，由于是手动操作，因此它不会有失控的危险，从而不会引起不必要的注意。其次，它允许攻击者对目标进行挑选，从而即时了解到有哪些计算机已被加密。

SamSam勒索软件谨慎选择目标

自2015年12月以来，SamSam一直专注于一些大型组织，包括亚特兰大市政府、科罗拉多州交通局、多家医院和诸如密西西比河谷州立大学这样的教育机构。

到目前为止，单个受害者支付的最大一笔赎金约价值6.4万美元。与大多数勒索软件家庭相比，这个数字已经非常了不起了。

由于SamSam的受害者并没有能够找到任何免费的方法来恢复他们被文件加密，很大一部分的受害者都选择了支付赎金，这也是导致SamSam一直保持活跃的最主要原因之一。

根据Sophos的说法， 74％的已知受害者都位于美国，其次加拿大、英国和中东国家。

为了防范此威胁，Sophos建议用户和组织务必保持定期备份，使用多因素身份验证，限制对RDP的访问（在端口3389上），并始终保持系统和软件的维持在最新版本状态。