SamSam Ransomware

Uma campanha envolvendo a SamSam Ransomware, um Trojan ransomware de criptografia, tem atacado hospitais. O SamSam Ransomware, ou Samas/o SamSam/MSIL.B/C Ransomware, está sendo distribuído usando servidores corrompidos, que são então usados para comprometer outros computadores em uma rede. Isto significa que o SamSam Ransomware usa um vetor de ataque diferente da maioria dos Trojans ransomware que estão sendo distribuídos atualmente, que usam mensagens de e-mail de phishing e técnicas semelhantes. A maioria dos ataques pelo SamSam Ransomware parecem ser destinados a infectar os computadores da indústria de saúde.

O SamSam Ransomware pode Pôr uma Rede em Perigo Num Piscar de Olhos

O JexBoss está sendo usado para espalhar a SamSam Ransomware. O JexBoss é uma ferramenta de fonte aberta que é usada para testar os servidores dos aplicativos do JBoss. Usando essa ferramenta, terceiros podem abrir uma base de operaçōes em uma rede e começar a espalhar o SamSam Ransomware. Através de uma rede afetada, o SamSam Ransomware pode se espalhar para vários computadores que estejam usando o sistema operacional do Windows. Uma vez que um computador foi atacado pelo SamSam Ransomware, o seu arquivo executável será executado e, então, a criptografia dos arquivos do computador da vítima vai ser iniciada. O SamSam Ransomware usa o Rijndael em sua criptografia e, em seguida, criptografa a chave usando a criptografia RSA-2048. Isso faz com que seja impossível que as vítima ou os pesquisadores de malware recuperem os arquivos criptografados, uma vez que a chave de descriptografia se torna inacessível. A seguir estão as extensões de arquivo que o SamSam Ransomware visa em seu ataque:

.3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkf, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db-journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fmb, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .htm, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .jar, .java, .jin, .jpe, .jpeg, .jpg, .jsp, .kbx, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbl, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .php5, .phtml, .pl, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar,, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tib, .tif, .tlg, .txt, .vob, .wallet, .war, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip.

O SamSam Ransomware não criptografa os arquivos das vítimas, se o sistema operacional afetado for anterior ao Windows Vista. O SamSam Ransomware é auto-suficiente e não requer downloads adicionais para realizar o seu ataque. Um dos aspectos mais ameaçadores dos ataques como o do SamSam Ransomware é que essa ameaça pode se espalhar rapidamente por toda uma rede. Ao invés de afetar um único computador através de um e-mail de phishing, o SamSam Ransomware pode ser usado para afetar severamente as atividades dos escritórios de corporaçōes ou de órgãos governamentais. Nesse caso, o SamSam Ransomware está sendo usado para atingir o setor de saúde.

O Resgate Exigido pelo SamSam Ransomware pode Atingir Somas Astronómicas

O SamSam Ransomware tem aumentado constantemente a quantia que deve ser paga pelas vítimas. Atualmente, o SamSam Ransomware exige um resgate de 1,5 BitCoins por sistema infectado, ou 22 BitCoins para descriptografar todos os computadores que foram infectados. Alguns desses resgates têm alcançado até 1,7 BitCoin por computador. Os analistas de malware têm monitorado algumas carteiras de BitCoins conectadas a esses ataques, percebendo que foram recebidos pagamentos de centenas de milhares de dólares, tornando os ataques do SamSam Ransomware especialmente lucrativos para as pessoas envolvidas.