На самом деле данный вирус не является таким, как многие другие. SamSam отличается от остального вредоносного ПО тем, что не распространяется на незапланированных жертв, которые получат ПО посредством спам-рассылки или другим способом. Вместо этого злоумышленники выбирают потенциальные цели и заражают системы вручную, точно зная, что их "клиент" заплатит кругленькую сумму.
Атакующие сначала взламывают учетные данные одного из устройств - либо брутфорсом, либо посредством ложной страницы авторизации. Затем на компьютере разворачивается сам SamSam, который впоследствии "размножается" - перебирается на другие компьютеры, подключенные по локальной сети.
В отличие от других известных вирусов-вымогателей, таких как WannaCry и NotPetya, SamSam не включает в себя какие-либо возможности для самопроизвольного распространения. Вместо этого каждое действие тщательно планируется самими разработчиками.
После того, как локальная система полностью захвачена, ПО затем шифрует данные системы и требует выкупа, обходящемуся жертве в кругленькую сумму (более 50 000 долларов) в BITCION, после чего предоставляются ключи дешифрования.
«Многоуровневая система приоритетов гарантирует, что ПО сначала зашифровывает наиболее ценные данные, а лишь в самом конце - системные файлы Windows. Этот метод имеет несколько преимуществ. Во-первых, такой способ дает больше шансов на то, что жертве придется заплатить - к моменту обнаружения ПО все нужные файлы уже будут зашифрованы. Во-вторых, благодаря системе аналитики определяется стоимость выкупа, что тоже играет немаловажную роль.»
SamSam тщательно выбирает целевую жертву
Начиная с декабря 2015 года SamSam нацелился на некоторые крупные организации, включая Департамент транспорта штата Колорадо, несколько больниц и учебных заведений, таких как Государственный университет штата Миссисипи.
До сих пор наибольший выкуп, выплачиваемый отдельной жертвой, оценивается в 64 000 долларов - это значительно большая сумма по сравнению с другими вирусами.
Поскольку жертвы SamSam не видят другой возможности для восстановления своих зашифрованных файлов, кроме оплаты, им приходится отправлять выкуп - естественно, это делает атаку более успешной.
По словам Sophos, 74% известных организаций-жертв, идентифицированных охранной фирмой, базируются в Соединенных Штатах, а другие - в Канаде, Великобритании и на Ближнем Востоке.
Для защиты от этой угрозы пользователям и организациям рекомендуется регулярно выполнять резервное копирование, использовать многофакторную аутентификацию, ограничивать доступ к Интернету и постоянно обновлять стоящее на устройствах программное обеспечение.