文章来自:微信微信官方账号CyberThreatAnalyst
原作者:潘大正正
原文链接:https://mp.weixin.qq.com/s/DlPaBxIDN0G_xc4o_1SFKw
轻轻的我走了,正如我轻轻的(高)轻轻的(调)来。挥一挥袖子,拿走20亿美元。
2018年最流行的勒索软件GandCrab终于宣布退出.它的故事讲完了,赚够了钱准备撤了,把最后一波被勒索的人一个人留在风中。
2019年6月,GandCrab勒索软件团队相关论坛以俄语发布官方声明称,将在一个月内关闭其RaaS(勒索软件即服务)业务。如图所示:
翻译过来大概意思是:
“在与我们合作的一年里,人家已经赚了20多亿美元,我们已经成为地下市场勒索软件制造方向的代表。我们每周的平均收入是250万美元。我们每个人的年收入超过1.5亿美元。我们成功兑现了这笔钱,将现实生活中和网络上得到的钱合法化。我们很高兴与你合作,但是天下没有不散的宴席。我们将开始这种当之无愧的退休生活。”
其停工业务将包括:
1.停止代理人的活动;
2.我们要求代理暂停流量。
3.从这个日期起20天内,我们要求代理人通过他们的僵尸主机以任何方式将赎金货币化。
4.受害者-如果你现在想买一个密钥,你的数据仍然是不可恢复的,因为密钥会被删除。
如开头所述,这家公司通过勒索软件赚取了超过20亿美元的赎金,运营商每周收入约250万美元。
然而,关于鹅这一年半的“巨大成就”,GandCrab对自己的评价是:
“我们已经证明,通过做坏事,报复不会到来。我们花了一年时间,赚够了一辈子的钱,然后就可以用它做有用的事情了。”
好像是GandCrab在“跑路”之前给了自己的行为一个五星好评。
第一次见到GandCrab
“当时是在国外安全研究者的一个相关论坛网站上。当时觉得勒索比较有意思,就从app.any.run网站下载了相关样本。”这是安全研究员29A第一次接触GandCrab勒索软件。
2018年1月26日,29A第一次分析了GandCrab1.0版本的样本。29A表示,其第一代采用代码自解密技术,在内存中解密勒索软件的核心代码,然后替换到相应的内存空间中执行。当时只是向用户勒索大石币,加密后缀是:GDCB。经过分析,GandCrab运营团队于2018年1月28日在论坛上发布了相关的卖出帖子,如下图:
“说实话,当时我并没有发现这个勒索软件会在接下来的一年半里变得如此流行。”
雄蟹的进化史
3月初,GandCrab勒索软件的服务器被罗马尼亚一家安全公司和警方攻破,GandCrab的加密文件得以成功恢复。因此,病毒开发者迅速升级了V2版本,并将服务器主机命名为politiaromana.bit,激怒了罗马尼亚警方。之前服务器主机是gandcrab.bit.
“这是一个机会,没多久GandCrab就进化成了GandCrab 2.0版。”
对GandCRAB2.0版本2.0的分析表明,它使用了代码混淆、命令浪费、反调试等技术。同时利用反射注入技术将解密后的勒索病毒核心载荷代码注入到相关进程中,然后执行相应的勒索病毒加密操作,加密后缀为:Crab。
“2018年4月,我接到一个客户的紧急反应,发现了首例GandCrab敲诈案。通过分析发现是GandCrab2.0版本的升级,之前分析过,版本号是gand crab 2.0。
在发出警告后,29A再次监测到一个新的GandCrab变种,并将其命名为GandCrab3.0,这个勒索病毒主要通过邮件附件的方式在一个DOC文档中执行VBS脚本,然后下载GandCrab3.0勒索病毒并执行。加密后缀和之前的2.0版本一样:CRAB,如下图:
到了GandCrab4.0,勒索运营团队在勒索信息中首次使用TOR支付站点,让受害者联系,然后解密。29A也在第一时间发布了相关预警。
29A表示,新版本是在2018年7月发现的,当时再次收到客户的紧急响应。通过分析发现它属于GandCrab家族,这次的加密后缀是:KRAB。
“当时我以为GandCrab要歇歇了,没想到仅仅一个月后,GandCrab 4.3就出现了。更新速度体现了GandCrab对勒索行业的重要性。其次是GandCrab5.0。”
上一次更新使用了更多的传播方式,不仅通过VBS脚本下载,还通过PowerShell脚本和JS脚本下载传播,捕获并取其相关样本,解密相应的脚本,如下图:
在此之后还有两个基于GandCrab5.0的小更新:——GandCrab5.0.3和GandCrab5.0.4,前者可以说是当时最流行的勒索软件,大部分招募的用户都集中在这个版本。
通过分析最新捕获的GandCrab5.0.3 JS脚本,其主要功能分为以下四种类型:
在这之后,GandCrab5.0.4开始活跃起来。
5.0.4插曲
有意思的是,在GandCrab 5 . 0 . 4版本迭代到5.0.5之前,有一个小插曲让gand crab更加出名。
29A表示,GandCrab5.0.4版本5.0.4活跃一段时间后,全球很多企业和个人用户都被抓了。10月16日,一名叙利亚用户在推特上称,GandCrab勒索软件加密了他的电脑文件,由于他无法支付高达600美元的“赎金”,他再也看不到自己在战争中丧生的小儿子的照片,如下图:
事件发生后,GandCrab勒索软件运营团队发表道歉声明,并发布了叙利亚所有感染者的解密密钥。GandCrab还更新了V5.0.5,将叙利亚加入疫区“白名单”。至此,GandCrab得到了“侠盗猎车手勒索软件”的美名。
雄蟹的衰落
之后不久,安全公司Bitdefender与欧洲刑警组织和罗马尼亚警方合作开发了GandCrab勒索软件解密工具。这个解密工具适用于所有已知版本的勒索软件。可解密版本,如下所示:
该工具是No More Ransom项目的最新研究成果,它的诞生也预示着GandCrab勒索软件即将终结。
29A GandCrab、撒旦、孤岛危机、Globelmpster合并为2018年四大勒索病毒,GandCrab被“赞”为四大勒索病毒之首。在其相关的警告总结报告中,GandCrab被比作勒索海王。
随后,GandCrab5.1和GandCrab5.2版本相继发布,但这更像是日落前的最后一缕曙光。安全厂商很快跟进了他们的解密工具。
俗话说,天下没有不散的宴席。GandCrab5.1火了一段时间。紧接着,随着GandCrab5.1解密工具的发布,2019年3月,GandCrab运营团队再次发布GandCrab5.2勒索软件。与此同时,国内多家企业被抓。
“在GandCrab爆发后的一年半时间里,我收到了N起客户紧急响应事件。直到最近我发现它的传播渠道开始传播其他勒索病毒样本(Sodinokibi,GetCrypt,EZDZ)。我心里在想GandCrab是不是已经被换掉了?”
附言
之后大家都已经知道了。
2019年6月1日,GandCrab运营团队在国外论坛正式宣布停止GandCrab勒索软件的更新。
“我们不知道GandCrab的运营团队赚了多少,但肯定不会少。勒索现在是黑产最快速最暴力的拿钱方式。每年全球勒索运营团队会有数百亿黑产收入。很多大企业因为勒索不敢说出来,偷偷交赎金解决。相关政企事业单位会找安保公司应急。\”
GandCrab解密工具
在29A看来,GandCrab敲诈虽然结束了,但安全保护并没有结束,未来会有越来越多的黑产团队加入。GandCrab已经打开了潘多拉魔盒,还会有多少GandCrab这样的黑产团队出来作恶也是未知。
“这几年敲诈、挖矿的黑产基本上都发了财,闷声发大财。抵制诱惑是安全的基本素质。这么多年,我一直保持着两点。一是坚持安全研究,二是不做黑产。至少现在我能坚持这两点。”雷锋。com雷锋网。com
