Na de FBI waarschuwt nu ook Microsoft voor ransomware die bij gerichte aanvallen op bedrijfsnetwerken wordt ingezet en waarbij back-ups worden gewist. Het gaat om de Samas-ransomware, die voor het eerst in januari van dit jaar werd ontdekt en volledige netwerken kan versleutelen.

De manier waarop Samas computers weet te infecteren verschilt met de methode die de meeste ransomware-exemplaren gebruiken. Er wordt een veel gerichtere aanpak gebruikt, zo stelt Microsoft. De aanvallers voeren als eerste een scan uit via een "penetratietest/aanvalsserver", aldus Microsoft, hoewel er geen naam wordt genoemd om wat voor soort server het precies gaat. Via deze server wordt naar mogelijke kwetsbare netwerken gezocht.

Ook maken de aanvallers gebruik van verouderde JBOSS-serverapplicaties om toegang te krijgen, alsmede de Bladabinidi-malware om inloggegevens te stelen. Zodra er toegang is verkregen wordt het programma PSEXEC gebruikt om de ransomware op computers te installeren. Verder worden schaduwbestanden van de besmette computers verwijderd en zoeken de aanvallers naar back-upgerelateerde bestanden om die vervolgens te verwijderen.

De meeste infecties door de Samas-ransomware zijn in de Verenigde Staten waargenomen, hoewel er ook infecties in Europa en China zijn gemeld. Na de eerste variant is er ook een tweede variant ontdekt. Deze variant gebruikt geen WordPress-website meer voor het ontsleutelen van bestanden, maar een website op het Tor-netwerk. Voor het ontsleutelen van bestanden op een computer vragen de aanvallers 1 bitcoin, wat met zo'n 360 euro overeenkomt.