· 之前的报告称SamSam只赚了八万五千美元赎金，但根据Sophos白皮书，SamSam其实在过去两年半以来已赚取了接近六百万美元赎款。

· 74%已知的受害者来自美国，而其他主要受攻击地区包括：澳洲 (2%)、印度 (1%)、中东 (1%)、加拿大 (5%)，以及英国 (8%)。

· 世界各地的企业应提高警惕，并确保其软、硬件经常保持更新，以防止日后受到这类勒索软件攻击。

北京，2018年8月2日–网络和端点安全的全球领导厂商Sophos(伦敦证交所代码：SOPH)发布了一份白皮书，深入调查首次在2015年12月出现的SamSam勒索软件攻击。该白皮书名为《SamSam: 赚取近六百万美元赎金的勒索软件》，旨在通过总结关于攻击工具、技术和协议等主要发现来全面了解这种独特的勒索软件。

与其他大部分勒索软件不同，SamSam是一种全面的加密工具，除了工作数据文件，还会使那些对Windows运行影响不大的程序无法使用，而这些程序一般都不会有例行备份。SamSam的独特之处在于手动发动攻击，因此黑客能够采取相应策略躲避安全工具的检测。如果数据加密过程受到干扰，这款恶意软件甚至能够即时彻底清除任何自身痕迹，阻碍调查。此外，从攻击中恢复可能需要重新映像和/或重新安装软件以及恢复备份，导致许多受害者无法得到充足的恢复或者快速确保业务的持续性，最后不得不支付赎金。

SamSam勒索软件白皮书的主要发现包括：

· Sophos揭示74%的已知受害者来自美国，其他已知遭受攻击的地区包括：澳洲 (2%)、印度 (1%)、中东 (1%)、加拿大 (5%)，以及英国 (8%)。

· 部分受害者汇报了影响广范的勒索软件事故，这些事故严重影响了包括医院，学校及市政府等一些大型机构的运营。

· 通过追踪由比特币支付获得的攻击者的钱包地址，Sophos计算出SamSam已经赚取了超过五百九十万美元赎金(注)，而不是先前所知的八万五千美元。

Sophos全球恶意软件升级经理Peter Mackenzie表示：“绝大部分勒索软件都是利用简单的技术，通过大型的、吵吵闹闹的且无针对性的垃圾邮件活动感染受害者，并勒索相对较少的赎金。而SamSam的不同之处在于它是一种定制的有针对性的攻击，可造成最大损害并且赎金可达数万美元。更令人惊讶的是，SamSam采取手动攻击，黑客并不会明刀明枪，而是静悄悄翻墙入室。因此他们可以采取对策逃避安全工具的检测，还会在受到干扰时立即消除自身痕迹，阻碍调查。”

Mackenzie还表示：“SamSam提醒企业必须主动监管它们的安全策略。通过部署深度防御措施，企业可以减少其网络暴露于安全威胁之下，避免成为黑客易于寻获的目标。我们建议IT主管遵循安全的最佳实践，包括使用难以破解的密码及严格执行程序修补。”

Sophos建议以下四项安全措施：

· 仅允许使用VPN的员工远程访问任何系统，从而限制对端口3389 (RDP)的访问，利用多因素身份验证进行VPN访问。

· 为整个企业网络定时执行漏洞扫描和渗透测试。倘若企业未曾跟进新近的渗透测试报告，现在便应马上进行。

· 为敏感的内部系统启动多重认证，即使是LAN或VPN上的员工也必须遵从。

· 建立离线的非现场备份，以及制订涵盖修复数据与整个系统的灾难复计划。