文章源自：微信公眾號CyberThreatAnalyst

原創(chuàng)作者：pandazhengzheng

原文鏈接：https://mp.weixin.qq.com/s/DlPaBxIDN0G_xc4o_1SFKw

輕輕的我走了，正如我輕（高）輕（調(diào)）的來。揮一揮衣袖，捎帶走20億美元。

GandCrab，這款2018年最流行的勒索病毒，現(xiàn)在終于宣告退場......它的故事完了，錢賺夠了、準備撤了，留下最后一波被勒索的人們，獨自在風中凌亂。

2019年6月，GandCrab勒索病毒團隊相關(guān)論壇發(fā)表俄語官方聲明，將在一個月內(nèi)關(guān)閉其RaaS（勒索軟件即服務(wù)）業(yè)務(wù)。詳情如圖：

翻譯之后，大概意思就是：

“在與我們合作的那一年里，人們已經(jīng)賺了20多億美元，我們已經(jīng)成為地下市場中勒索軟件制造方向的代表者。 我們每周的收入平均為250萬美元。我們每人每年賺得超過1.5億美元。我們成功兌現(xiàn)了這筆錢，并在現(xiàn)實生活和互聯(lián)網(wǎng)上的將收獲的錢成功合法化。我們很高興與你合作，但是，所有的好事都會結(jié)束。我們將開啟這次當之無愧的退休生活。”

其關(guān)停業(yè)務(wù)將包括：

1、停止代理商活動;

2、我們要求代理商暫停流量

3、從這個日期起的20天內(nèi)，我們要求代理商以任何方式通過他們的僵尸主機將贖金貨幣化

4、受害者 – 如果您現(xiàn)在想購買密鑰，您的數(shù)據(jù)將依舊無法恢復，因為密鑰將被刪除

正如開頭說的，這家公司靠勒索軟件賺取了超過20億美元的贖金，運營商每周大約賺250萬美元。

然鵝，對于這一年半的“豐功偉績”，GandCrab對自己的評價是：

“我們已經(jīng)證明，通過做惡行為，報復不會到來。我們用一年時間，賺夠了一生花不完的錢，然后還能用這些錢去做有益的事情?！?/p>

看來，GandCrab“跑路”前，還給自己的行為來了個五星好評。

初識GandCrab

“當時是在一個國外安全研究人員的相關(guān)論壇網(wǎng)站。當時我覺得勒索比較有意思，于是就從app.any.run網(wǎng)站下載到了相關(guān)的樣本?！边@是身為安全研究員的29A第一次接觸GandCrab勒索病毒。

2018年1月26號，29A第一次分析了GandCrab1.0版本的樣本。29A稱，它的第一代，使用了代碼自解密技術(shù)，在內(nèi)存中解密出勒索病毒的核心代碼，然后替換到相應(yīng)的內(nèi)存空間中執(zhí)行,當時它只向用戶勒索達世幣，加密后綴為:GDCB，分析完之后GandCrab運營團隊在2018年1月28號，在論壇上發(fā)布了相關(guān)的出售貼子，如下所示：

“說實話，當時我并沒發(fā)現(xiàn)這款勒索病毒在后面一年半的時間里會變的如此火爆。”

GandCrab演變史

3月初，GandCrab勒索病毒的服務(wù)器被羅馬尼亞一家安全公司和警方攻破，可以成功恢復GandCrab加密的文件。于是，病毒開發(fā)人員迅速升級了版本V2，并將服務(wù)器主機命名為politiaromana.bit，挑釁羅馬尼亞警方，之前服務(wù)器的主機為gandcrab.bit.....

“這是一個契機，沒過多久GandCrab就演變出了GandCrab2.0版本?！?/p>

分析GandCrab2.0版本發(fā)現(xiàn)，它使用了代碼混淆，花指令，反調(diào)試等技術(shù)，同時使用了反射式注入技術(shù)，將解密出來的勒索病毒核心Payload代碼，注入到相關(guān)的進程當中，然后執(zhí)行相應(yīng)的勒索加密操作，加密后綴為：CRAB......

“2018年4月，我接到客戶應(yīng)急處理，發(fā)現(xiàn)了第一例GandCrab勒索案例，通過分析，發(fā)現(xiàn)它就是之前分析過的GandCrab2.0版本的升級，該版本號為GandCrab2.1。

在發(fā)布預(yù)警之后，29A再次監(jiān)控到了一款新的GandCrab變種，并將其命名為GandCrab3.0，這款勒索病毒主要通過郵件附件的方式，在一個DOC文檔中執(zhí)行VBS腳本，然后下載GandCrab3.0勒索病毒并執(zhí)行，加密后綴與之前2.0版本一樣為:CRAB，如下所示：

到了GandCrab4.0，勒索運營團隊在勒索信息中首次使用了TOR支付站點的方式，讓受害者聯(lián)系，然后解密，29A也在第一時間發(fā)布了相關(guān)的預(yù)警。

29A稱，發(fā)現(xiàn)新版本是在2018年7月，當時再次接到了客戶應(yīng)急響應(yīng)，通過分析發(fā)現(xiàn)它屬于GandCrab家族，這次加密后綴為:KRAB。

“當時本以為GandCrab要歇一陣了，沒想到僅僅是過了一個月GandCarb4.3就出現(xiàn)了。其更新速度之快，映射出GandCrab對于勒索產(chǎn)業(yè)重要程度。而緊隨其后的，還有GandCrab5.0。”

最后一次更新使用了更多的方式傳播，不僅僅通過VBS腳本執(zhí)行下載，還會使用PowerShell腳本，JS腳本的方式下載傳播執(zhí)行，捕獲取了它的相關(guān)樣本，并解密出相應(yīng)的腳本，如下所示：

在這之后，是基于GandCrab5.0的兩次小更新——GandCrab5.0.3和GandCrab5.0.4。而前者可以說是當時最流行的勒索病毒，中招用戶也都多集中在這一版本。

通過對捕獲到的最新GandCrab5.0.3傳播JS腳本進行分析，其主要功能分為如下4種：

在這之后，GandCrab5.0.4開始活躍起來。

5.0.4小插曲

有趣的是，在GandCrab5.0.4版本向5.0.5迭代前，有一個小插曲讓GandCrab更加出名了。

29A稱，在GandCrab5.0.4版本活躍了一段時間之后，全球多家企業(yè)以及個人用戶中招。在10月16日，一位敘利亞用戶在twitter上表示GandCrab勒索病毒加密了他的電腦文件，因為無力支付高達600美元的“贖金”，他再也無法看到因為戰(zhàn)爭喪生的小兒子的照片，如下所示:

事情之后，GandCrab勒索病毒運營團隊發(fā)布了一條道歉聲明，并放出了所有敘利亞感染者的解密密匙，GandCrab也隨之進行了V5.0.5更新，將敘利亞加進感染區(qū)域的“白名單”。至此，GandCrab得到了一個“俠盜勒索病毒”的美稱。

GandCrab的衰落

這之后不久，安全公司Bitdefender與歐州型警組織和羅馬尼亞警方合作開發(fā)了GandCrab勒索軟件解密工具。該解密工具適用于所有已知版本的勒索軟件?？山饷艿陌姹?，如下所示：

該工具是No More Ransom項目的最新研究成果，它的誕生也預(yù)示著GandCrab勒索病毒快走到了盡頭......

29A將GandCrab、Satan、CrySiS、Globelmpster并成為2018年四大勒索病毒，而GandCrab更是被“譽為”四大勒索病毒之首。在其發(fā)布的相關(guān)預(yù)警總結(jié)報告中，GandCrab被比喻成是勒索界海王。

隨后，GandCrab5.1、GandCrab5.2版本陸續(xù)發(fā)布，但這更像是殘陽西下前的最后一縷余光，安全廠商很快跟進了其解密工具。

正所謂天下沒有不散的宴席，GandCrab5.1火了一段時間，然后隨著GandCrab5.1版本解密工具的放出，2019年3月，GandCrab運營團隊再次發(fā)布了GandCrab5.2版本的勒索病毒，同時國內(nèi)又有多家企業(yè)中招。

“在GandCrab爆發(fā)的一年半時間里，接到過N起客戶應(yīng)急響應(yīng)事件，直到近期，我發(fā)現(xiàn)它的傳播渠道開始傳播其他勒索病毒樣本(Sodinokibi、GetCrypt、EZDZ)，我心里在想難不成GandCrab換人了？”

后記

之后的事情，大家都已經(jīng)知道了。

2019年6月1日，GandCrab運營團隊就在國外論壇上官方宣布了，停止GandCrab勒索病毒的更新。

“GandCrab運營團隊究竟賺了多少，我們不知道，不過肯定不會少，勒索現(xiàn)在成了黑產(chǎn)來錢最快，也是最暴力的方式，每年全球的勒索運營團隊都會有幾百億的黑產(chǎn)收入，很多大型企業(yè)中了勒索而不敢聲張，偷偷交贖金解決，相關(guān)政企事業(yè)單位會找安全公司進行應(yīng)急響應(yīng)處理?！?/p>

GandCrab解密工具

在29A看來，GandCrab勒索雖然結(jié)束了，然而安全防護并沒有結(jié)束，而且在后面一定會有越來越多的黑產(chǎn)團隊加入。GandCrab算是打開了潘多拉之盒，之后會有多少像GandCrab的黑產(chǎn)團隊出來作惡就不得而知了。

“這些年做勒索和挖礦的黑產(chǎn)，基本都發(fā)財了，而且是悶聲發(fā)著大財。抵御誘惑是做安全的人的基本素養(yǎng)，這么多年做安全，我一直保持著兩點，一個是堅持安全研究，一個是不做黑產(chǎn)，至少現(xiàn)在我能堅守這兩點?！?span style="color: #FFFFFF;">雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。