美国一家医院支付5.5万美元的赎金：以摆脱SamSam勒索软件

近日，美国印第安纳州汉考克地区的一家医院被迫向黑客支付了价值5.5万美元的比特币赎金，以求尽快摆脱勒索软件对其计算机设备的控制。

美国这家医院的工作人员在2018年01月11日时发现，黑客组织影响了医院的电子邮件和健康记录，不过患者的数据并没有被黑客获取。

随后，安全研究人员对此展开了调查，发现黑客利用SamSam勒索软件加密了部分医院的文件，并将文件的后缀全部修改为“I’msorry”。

医院立即展开了紧急应对措施：通过专业IT人员介入暂停了医院的整个网络系统；要求员工关闭所有计算机，防止勒索软件通过局域网感染其他计算机；更有传言称，医院的医护人员开始使用笔和纸来代替计算机继续工作。

其后，医院表示，尽管文件都有备份，但从备份中恢复文件是一件很麻烦的事情，因为这需要把所有的系统投入到运行需要几天甚至几周的时间，基于此才不得不向黑客组织支付了赎金。

我们指导，SamSam勒索软件主要是通过开放的RDP端口进行传播的，而分析此次医院遭到SamSam勒索软件入侵的原因，则是黑客暴力破解了医院系统的RDP端口，达到再更多计算机设备上部署SamSam勒索软件的目的。

实际上，SamSam勒索软件早在两年前就出现过了，笔者有幸在2017年07月时分析过该勒索软件，当时其关联的比特币地址上获取到的最新一笔赎金已经达到了33000美元。

SamSam勒索病毒主要攻击的攻击目标是基于Java的Web服务器，该病毒能够通过Jboss攻击获得远程访问，并部署web-shells使用reGeorg做内网渗透，然后在http信道之上连接RDP，最后运行批量脚本将勒索软件部署到其他机器上。

与WannaCry等其他勒索软件不同的是，SamSam包含有一个通道，可以让攻击者实时的通过.onion网站与受害者进行通信，从而完成赎金交易。

实际上，这也不是笔者第一次分析的企业向勒索软件缴械妥协、缴纳赎金的案例，2017年6月份时候，韩国网络服务托管商Nayana遭到了勒索软件攻击，被迫支付赎金恢复数据，但后来到底是否得以恢复我们没有继续追踪。

而时间到了2017年11月时，Nayana公司再度遭到勒索攻击，这次有没有选择向黑客组织支付赎金，我们也没有掌握具体的资料。