賺了20億美元GandCrab的興衰史

文章源自：微信公眾號CyberThreatAnalyst

原創作者：pandazhengzheng

原文鏈接：https://mp.weixin.qq.com/s/DlPaBxIDN0G_xc4o_1SFKw

輕輕的我走了，正如我輕（高）輕（調）的來。揮一揮衣袖，捎帶走20億美元。

GandCrab，這款2018年最流行的勒索病毒，現在終于宣告退場......它的故事完了，錢賺夠了、準備撤了，留下最后一波被勒索的人們，獨自在風中凌亂。

2019年6月，GandCrab勒索病毒團隊相關論壇發表俄語官方聲明，將在一個月內關閉其RaaS（勒索軟件即服務）業務。詳情如圖：

翻譯之后，大概意思就是：

“在與我們合作的那一年里，人們已經賺了20多億美元，我們已經成為地下市場中勒索軟件制造方向的代表者。 我們每周的收入平均為250萬美元。我們每人每年賺得超過1.5億美元。我們成功兌現了這筆錢，并在現實生活和互聯網上的將收獲的錢成功合法化。我們很高興與你合作，但是，所有的好事都會結束。我們將開啟這次當之無愧的退休生活。”

其關停業務將包括：

1、停止代理商活動;

2、我們要求代理商暫停流量

3、從這個日期起的20天內，我們要求代理商以任何方式通過他們的僵尸主機將贖金貨幣化

4、受害者 – 如果您現在想購買密鑰，您的數據將依舊無法恢復，因為密鑰將被刪除

正如開頭說的，這家公司靠勒索軟件賺取了超過20億美元的贖金，運營商每周大約賺250萬美元。

然鵝，對于這一年半的“豐功偉績”，GandCrab對自己的評價是：

“我們已經證明，通過做惡行為，報復不會到來。我們用一年時間，賺夠了一生花不完的錢，然后還能用這些錢去做有益的事情。”

看來，GandCrab“跑路”前，還給自己的行為來了個五星好評。

初識GandCrab

“當時是在一個國外安全研究人員的相關論壇網站。當時我覺得勒索比較有意思，于是就從app.any.run網站下載到了相關的樣本。”這是身為安全研究員的29A第一次接觸GandCrab勒索病毒。

2018年1月26號，29A第一次分析了GandCrab1.0版本的樣本。29A稱，它的第一代，使用了代碼自解密技術，在內存中解密出勒索病毒的核心代碼，然后替換到相應的內存空間中執行,當時它只向用戶勒索達世幣，加密后綴為:GDCB，分析完之后GandCrab運營團隊在2018年1月28號，在論壇上發布了相關的出售貼子，如下所示：

“說實話，當時我并沒發現這款勒索病毒在后面一年半的時間里會變的如此火爆。”

GandCrab演變史

3月初，GandCrab勒索病毒的服務器被羅馬尼亞一家安全公司和警方攻破，可以成功恢復GandCrab加密的文件。于是，病毒開發人員迅速升級了版本V2，并將服務器主機命名為politiaromana.bit，挑釁羅馬尼亞警方，之前服務器的主機為gandcrab.bit.....

“這是一個契機，沒過多久GandCrab就演變出了GandCrab2.0版本。”

分析GandCrab2.0版本發現，它使用了代碼混淆，花指令，反調試等技術，同時使用了反射式注入技術，將解密出來的勒索病毒核心Payload代碼，注入到相關的進程當中，然后執行相應的勒索加密操作，加密后綴為：CRAB......

“2018年4月，我接到客戶應急處理，發現了第一例GandCrab勒索案例，通過分析，發現它就是之前分析過的GandCrab2.0版本的升級，該版本號為GandCrab2.1。

在發布預警之后，29A再次監控到了一款新的GandCrab變種，并將其命名為GandCrab3.0，這款勒索病毒主要通過郵件附件的方式，在一個DOC文檔中執行VBS腳本，然后下載GandCrab3.0勒索病毒并執行，加密后綴與之前2.0版本一樣為:CRAB，如下所示：

到了GandCrab4.0，勒索運營團隊在勒索信息中首次使用了TOR支付站點的方式，讓受害者聯系，然后解密，29A也在第一時間發布了相關的預警。

29A稱，發現新版本是在2018年7月，當時再次接到了客戶應急響應，通過分析發現它屬于GandCrab家族，這次加密后綴為:KRAB。

“當時本以為GandCrab要歇一陣了，沒想到僅僅是過了一個月GandCarb4.3就出現了。其更新速度之快，映射出GandCrab對于勒索產業重要程度。而緊隨其后的，還有GandCrab5.0。”

最后一次更新使用了更多的方式傳播，不僅僅通過VBS腳本執行下載，還會使用PowerShell腳本，JS腳本的方式下載傳播執行，捕獲取了它的相關樣本，并解密出相應的腳本，如下所示：

在這之后，是基于GandCrab5.0的兩次小更新——GandCrab5.0.3和GandCrab5.0.4。而前者可以說是當時最流行的勒索病毒，中招用戶也都多集中在這一版本。

通過對捕獲到的最新GandCrab5.0.3傳播JS腳本進行分析，其主要功能分為如下4種：

在這之后，GandCrab5.0.4開始活躍起來。

5.0.4小插曲

有趣的是，在GandCrab5.0.4版本向5.0.5迭代前，有一個小插曲讓GandCrab更加出名了。

29A稱，在GandCrab5.0.4版本活躍了一段時間之后，全球多家企業以及個人用戶中招。在10月16日，一位敘利亞用戶在twitter上表示GandCrab勒索病毒加密了他的電腦文件，因為無力支付高達600美元的“贖金”，他再也無法看到因為戰爭喪生的小兒子的照片，如下所示:

事情之后，GandCrab勒索病毒運營團隊發布了一條道歉聲明，并放出了所有敘利亞感染者的解密密匙，GandCrab也隨之進行了V5.0.5更新，將敘利亞加進感染區域的“白名單”。至此，GandCrab得到了一個“俠盜勒索病毒”的美稱。

GandCrab的衰落

這之后不久，安全公司Bitdefender與歐州型警組織和羅馬尼亞警方合作開發了GandCrab勒索軟件解密工具。該解密工具適用于所有已知版本的勒索軟件。可解密的版本，如下所示：

該工具是No More Ransom項目的最新研究成果，它的誕生也預示著GandCrab勒索病毒快走到了盡頭......

29A將GandCrab、Satan、CrySiS、Globelmpster并成為2018年四大勒索病毒，而GandCrab更是被“譽為”四大勒索病毒之首。在其發布的相關預警總結報告中，GandCrab被比喻成是勒索界海王。

隨后，GandCrab5.1、GandCrab5.2版本陸續發布，但這更像是殘陽西下前的最后一縷余光，安全廠商很快跟進了其解密工具。

正所謂天下沒有不散的宴席，GandCrab5.1火了一段時間，然后隨著GandCrab5.1版本解密工具的放出，2019年3月，GandCrab運營團隊再次發布了GandCrab5.2版本的勒索病毒，同時國內又有多家企業中招。

“在GandCrab爆發的一年半時間里，接到過N起客戶應急響應事件，直到近期，我發現它的傳播渠道開始傳播其他勒索病毒樣本(Sodinokibi、GetCrypt、EZDZ)，我心里在想難不成GandCrab換人了？”

后記

之后的事情，大家都已經知道了。

2019年6月1日，GandCrab運營團隊就在國外論壇上官方宣布了，停止GandCrab勒索病毒的更新。

“GandCrab運營團隊究竟賺了多少，我們不知道，不過肯定不會少，勒索現在成了黑產來錢最快，也是最暴力的方式，每年全球的勒索運營團隊都會有幾百億的黑產收入，很多大型企業中了勒索而不敢聲張，偷偷交贖金解決，相關政企事業單位會找安全公司進行應急響應處理。”

GandCrab解密工具

在29A看來，GandCrab勒索雖然結束了，然而安全防護并沒有結束，而且在后面一定會有越來越多的黑產團隊加入。GandCrab算是打開了潘多拉之盒，之后會有多少像GandCrab的黑產團隊出來作惡就不得而知了。

“這些年做勒索和挖礦的黑產，基本都發財了，而且是悶聲發著大財。抵御誘惑是做安全的人的基本素養，這么多年做安全，我一直保持著兩點，一個是堅持安全研究，一個是不做黑產，至少現在我能堅守這兩點。”雷鋒網雷鋒網雷鋒網

雷峰網版權文章，未經授權禁止轉載。詳情見轉載須知。