Decodeer en verwijder SamSam, een variant van ransomware die zich richt op grote organisaties & gemeentelijke diensten en een piek bereikte in 2018.
De meeste varianten van ransomware volgen een strategie waarbij ze blinds zoveel mogelijk computers proberen te besmetten via kwaadaardige spam of beveiligingslekken. De SamSam gijzelsoftware 2018 pakt het echter helemaal anders aan en wordt op een erg ordelijke manier gedistribueerd. De oplichters achter deze campagne kiezen eerst een organisatie uit die ze in hun vizier willen nemen, doen vervolgens hun huiswerk door diepgaand onderzoek te doen en slaan daarna toe met quasi 100% zekerheid dat hun slachtoffer in de val zal trappen.
Elk van dergelijke aanvallen begint met RDP: het toestel van het slachtoffer wordt gehackt door gebruik te maken van een loophole in het Remote Desktop Protocol. Omdat de oplichters zich richten op bedrijven, zorginstellingen en lokale overheden, wordt de besmette host gebruikt om de besmetting door te geven aan andere computers binnen hetzelfde netwerk. Daardoor kan de schaal van de aanval exponentieel toenemen, waardoor de oplichter een sterke positie verkrijgt tijdens de onderhandelingen over het ‘losgeld’.
SamSam gijzelsoftware 2018: berichten met eisen van de oplichters
Na de eenvoudige inbraak via RDP bruteforcing, besmet de SamSam ransomware 2018 de volledige IT-infrastructuur van het slachtoffer aan een razend tempo, waarbij het aantal geïnfecteerde workstations mogelijks in de duizenden ligt. Daarna zorgt het programma ervoor dat alle populaire soorten gegevens op de computer ontoegankelijk worden gemaakt door middel van encryptie. Specifiek wordt er gebruik gemaakt van het RSA-2048-algoritme, wat asymmetrisch en extreem moeilijk – zo niet onmogelijk – om te kraken is. De naam van het programma wordt bovendien toegevoegd aan de extensie van het bestand, om duidelijk te maken aan de gebruiker dat het niet langer toegankelijk is. Zo is een vaak voorkomende suffix van de SamSam 2018-ransomware ‘.weapologize’, ironisch, niet? Een aantal andere extensies die eerder door de software gebruikt werden zijn .VforVendetta, .powerfulldecrypt, .noproblemwedecfiles, .otherinformation, .letmetrydecfiles, .encryptedyourfiles, .breeding123, .moments2900, .country82000, and .areyoulovemyrans.
Een bericht waarin naar losgeld gevraagd wordt is onvermijdelijk. De SamSam ransomware weergeeft een splashscreen op besmette machines waarin uitgelegd wordt wat er met de bestanden gebeurd is en hoe men de gegevens opnieuw kan ontgrendelen. De meest recente versie van de software maakt hiervoor gebruik van een zogenaamd ‘0000-SORRY-FOR-FILES.html’-bestand. Een aantal andere namen die gerapporteerd werden door slachtoffers omvatten.
WE-MUST-DEC-FILES.html, 000-NO-PROBLEM-WE-DEC-FILES.html, 000-IF-YOU-WANT-DEC-FILES.html, LET-ME-TRY-DEC-FILES.html en 001-READ-FOR-DECRYPT-FILES.html. Ook de hoogte van het gevraagde bedrag durft sterk te schommelen: het hangt af van hoeveel succes de misdadigers hebben gehad en hoeveel computers ze in één klap wisten te infecteren. Het bedrag kan oplopen tot tienduizenden dollars voor grote organisaties. Volgens schattingen van experts hebben de internetcriminelen sinds het begin van de wansmakelijke aanval al méér dan $6 miljoen verdiend.
Het SamSam-chantagevirus stamt af uit 2016 en is één van de oudste actieve ransomware-applicaties. Het duurde tot 2018 voordat de ontwikkelaren ervan werden aangehouden. Momenteel worden ze beschuldigd van hacking en afpersing in de Verenigde Staten en worden ze aansprakelijk gehouden voor de miljoenen dollars aan schade die hun talrijke slachtoffers geleden hebben. In de loop van der jaren hebben ze talloze belangrijke organisaties besmet, waaronder het Colorado Department of Transportation, de haven van San Diego, de stad Atlanta, Hancock Health, het Nebraska Orthopaedic Hospital en een aantal andere organisaties waarvan de meeste gebaseerd zijn in de Verenigde Staten.
Op dit moment is het niet duidelijk of de hele bende is gearresteerd of dat iemand anders van de crew nog steeds op vrije voeten is. Hoe dan ook: als de SamSam ransomware 2018 belangrijke gegevens op uw computernetwerk heeft versleuteld, dan kunnen de volgende tips een goed startpunt zijn om uw gegevens te herstellen.
De uitroeiing van deze ransomware kan efficiënt worden bereikt met een betrouwbare beveiligingssoftware. Je vasthouden aan de automatische opschoningstechniek zorgt ervoor dat alle onderdelen van de infectie grondig worden weggevaagd uit je systeem.
Mogelijkheid 1: gebruik herstelsoftware om je bestanden te herstellen
Het is belangrijk om te weten dat het SamSam virus kopieën van je bestanden creëert en deze versleutelt. In de tussentijd zullen de oorspronkelijke bestanden worden verwijderd. Er bestaan applicaties die de verwijderde data kunnen herstellen. Je kunt gebruikmaken van hulpmiddelen zoals de Data Recovery Pro om dit te bereiken. De nieuwste versie van de ransomware in kwestie heeft de neiging om de veilig verwijder functie toe te passen bij een aantal overschrijvingen, maar deze methode is in ieder geval het proberen waard.
Mogelijkheid 2: maak gebruik van back-ups
Dit is een geweldige manier om je bestanden mee te herstellen. Het is alleen mogelijk om deze optie te gebruiken als je al een back-up van de informatie hebt opgeslagen op je computer. Als dat zo is moet je het niet nalaten om te profiteren van je voorbedachtheid.
Mogelijkheid 3: gebruik Shadow Volume Copies
Voor het geval dat je het nog niet wist, het besturingssysteem van je computer creëert zogenaamde Shadow Volume Copies van elk bestand zolang de System Recovery functie op de computer is geactiveerd. De herstelpunten worden gemaakt op bepaalde tijdstippen en de bestanden zullen worden hersteld zoals ze op dat moment waren. Let dus op dat deze methode niet zal zorgen voor het herstel van de nieuwste versies van je bestanden. Maar het is zeker de moeite waard om dit te proberen. Deze workflow is op twee manieren uitvoerbaar: handmatig en door het gebruik van een automatische oplossing. Laten we eerst eens een kijkje bij het handmatige proces nemen.
Nogmaals, het verwijderen van de malware alleen zal niet leiden tot het ontcijferen van je persoonlijke bestanden. Het herstellen van de gegevens zoals hierboven is uitgelegd, kan als je geluk hebt werken, maar de ransomware zelf behoort gewoon niet thuis op je computer. Het komt trouwens vaak samen met andere malware en daarom is het zeker zinvol om herhaaldelijk je computer met automatische beveiligingssoftware te scannen om ervoor te zorgen dat er geen schadelijke overblijfselen van dit virus en de bijbehorende bedreigingen zijn achtergebleven in je Windows-register of op andere locaties.
