近日一款名為SamSam的勒索木馬在國外爆發。該木馬利用醫院系統的服務器漏洞實施入侵，再進行加密勒索錢財。由于醫院網絡信息安全水平普遍薄弱，SamSam成功感染了國外多家醫院，而其他行業也存在相當大的風險。

此前，勒索軟件主要以個人電腦和手機用戶為攻擊目標，SamSam的出現，意味著勒索軟件攻擊企業服務器，甚至攻擊整個企業網絡已經成為此類網絡犯罪產業新的攻擊方向。為此360安全中心QVM團隊對SamSam樣本進行了深入分析，并提醒廣大企業加強網絡安全防護，注意及時打補丁修復服務器端的漏洞。

簡介：

這是一款.Net平臺的勒索程序，有SamSa, Samas, samsam等多個變種，根據shodan的結果，中美可能是受到影響最大的地區。

這里分析的是由Cisco Talos觀察到的利用JBoss漏洞傳播的主要以醫院為目標的樣本。盡管國內尚未出現SamSam感染跡象，但根據360網站安全檢測平臺的掃描結果，國內大量網站存在該漏洞并遲遲不修復，因此也很容易遭到勒索木馬的入侵。

　　樣本概況：

勒索軟件運行后的提示：

可以對344種類型的文件進行加密，其中覆蓋常見的文本文件、網頁文件、代碼文件、數據庫文件：

　　工作流程:

　　樣本細節：

從資源釋放del.exe和selfdel.exe用于后續刪除操作，一秒延遲后開始遍歷各個驅動器的文件，尋找后綴名為jin,xls,xlsx,pdf,doc等文件(見概況中的支持類型)

　　刪除卷影副本，防止用戶恢復

　　判斷找到文件的權限，若有進程占用則會調用taskkill殺掉進程。

判斷文件所在磁盤空間是否足夠，開始準備加密文件,加密前若發現同目錄下有對應的.encrtptedRSA文件則先刪掉再加密，加密后還會將提示串(見概況中的相關提示)寫入到文件對應路徑下的helpfile.txt里：

　　加密部分

后綴：.encryptedRSA(加密時的臨時文件)

后綴：.manifest.xml(未使用)

RSA公鑰Publickey:

iZSePJbXO0X051HqrxFws0kSfVH058n/jZloDWhWLY43W43HlvaJQnIyc76jrQxsDwYoNcs/uu55B5wTjNoIcpjxMZ8fFVqxuF+PoCEcu4nsT89/ejHYE4eGf5ihvTDsEjOEZkj9ZxbWY2vOzdptgAgk9uoSrWmQQYDRHnhWD5+mfvNwhcLw4XwSi3EMZ0anXD5DpMCwv6OEsexG2OGAtyGgyG9gYX79yAeQrfuZ23IfB8wORF/9au8gEG7aXpMXAmJglAmORmJux9y2BjHOMJBdto7CGJI7jj1vKqNiOxYpYYUmtC4Uw91pvIQV7fWwiDrewssxciwW8bVyZALy3Q==AQAB";

生成字節數分別為64,16,16的三個隨機數作為signatureKey、key和iv:

先向.encryptedRSA文件頭填充大小為0xc00的0，塊大小為0x2800，并關閉原始文件相關進程

使用Rijndael算法配合之前生成的key和iv，將文件本身的內容加密并寫入對應的.encrtptedRSA文件：

　　將之前生成的signatureKey作為sha256的key來算文件的sha256

　　再講所有用到的key RSA2048

　　拼接所有內容寫入encrtptedRSA文件頭：

　　待encryptedRSA都準備完畢后刪除原來的文件:

　　總結：

該樣本使用RSA 2048來保存加密文件時的key，作者可解析頭部"", sn, "", str, "", sn, "", str2, "", sn, "", str3, "", sn, "", str4, "", sn, "", info.Length, "", sn, ""的串來得到加密后的數據，再使用私鑰解密各個字段得到的加密文件時使用到的key，iv等信息，進而還原加密后的文件。

針對SamSam等勒索木馬，360安全衛士在不斷更新強化防護能力，可以在木馬運行前將其攔截，全方位保護用戶的數據和財產安全。