GandCrab勒索病毒就此销声匿迹了吗？

GandCrab勒索病毒是一种广泛使用的加密病毒，自2018年1月以来一直活跃在攻击第一线，目前恶意软件已经出现多种攻击性变种，包括 .GDCB，.KRAB，.CRAB，GandCrab 2，GandCrab 3，GandCrab 4，GandCrab v4.1，GanCrab v4.1.2和GanCrab v5（包括GandCrab 5.0.1，GandCrab 5.0.2，GandCrab 5.0.3，GandCrab 5.0.4，GandCrab 5.0.5，GandCrab 5.0.6和2019年4月发现的GandCrab 5.3）。在这么短短的两年时间里，GandCrab经历了很多版本的更新迭代，传播感染多式也发生了很多变化，使用的技术也不断升级。不过有一点似乎没变，就是各个版本的GandCrab都采用了RSA+salsa20相结合的加密算法，导致加密后的文件，无法被解密。

按着以上所说的发展趋势，GandCrab还会再进行迭代，攻击趋势也将愈加猛烈！但就在6月初，恶意软件操作GandCrab背后的威胁组织却突然宣布他们已终止对该病毒的更新。在此之前，就传播速度和快速发展而言，GandCrab一直是过去一年中最活跃的恶意软件活动之一。

威胁组织声称，他们的“勒索即服务”（RaaS）KTV运营收入总计20亿美元。但由于其子公司占了收入的大部分比例（60％-40％，在某些情况下为70％-30％），所以看似这个业务很赚钱，但他们声称自己只从其业务中赚取了1.5亿美元。基于投入产出的考量，该组织还是停止了研发GandCrab的业务。

GandCrab被停止更新的通知

具体情况分析

GandCrab于2018年1月28日首次出现在俄罗斯黑客论坛exploit.in上，当时文件加密恶意软件的传播速度和影响力似乎正在下降。尽管如此，GandCrab仍能发挥重要作用，仅在出现后的第一个月就感染了5万多名受害者。

另外，它们出名的一个原因是，它们是第一个只接受DASH加密货币作为赎金支付的犯罪组织，尽管后来幕后开发者还是决定接受其他加密货币。开发者还使用集中式DNS服务器（a.dnspod.com）使用.BIT TLD托管其C2，该服务器名义上声称可镜像Namecoin的命名空间。虽然.BIT通常与NameCoin奇热组织的分散DNS项目相关，但GandCrab与NameCoin的关系后来被该组织揭穿。

GandCrab在俄罗斯论坛exploit.in的广告

传播过程

GandCrab积极的传播速度网络是通过其会员计划以及与其他服务（例如二进制加密程序NTCrypt）和其他具有RDP和VNC传播速度经验的参与者的合作伙伴关系而建立的。起初，他们只针对西方国家，主要是拉丁美洲。后来，他们扩展到与中国和韩国的恶意软件传播速度商合作，直到去年四月，研究人员才发现了针对韩国的GandCrab有效载荷的垃圾邮件活动。

GandCrab异常但可能有效的营销策略

由于GandCrab的飞速发展，FortiGuard 实验室还和其他安全研究人员一直在积极地监控版本之间的变化。除新功能外，这些功能还包括通过异常但可能有效的营销策略进行传播，攻击者将其嵌入二进制文件中，以混淆研究人员和安全组织的分析。这种做法会制造了一些反分析时的噪音，这可能使它们成为去年被报道最多、谈论最多的勒索软件家族之一。这一不同寻常的战略显示了一种几乎空前的犯罪虚张声势，甚至是一种不可战胜的感觉，因为他们能够不受任何影响地发布扰乱安全社区的公开声明。

开发者嵌入的嘲讽研究人员和组织的消息

在另一个不同寻常的营销策略中，GandCrabxise的开发者们还利用安全公司的报告来宣传他们服务的成功，同时嘲笑他们的对手。

使用来自安全公司的报告作为GandCrab很牛叉的广告

快速的发展过程

GandCrab成功的部分原因在于他们使用了敏捷的开发方法，从而可以快速发布新版本。这在我们有关GandCrab v4.x开发的文章中得到了最好的描述。关于GandCrab开发的完整时间表的详细讨论也可以在我们的AVAR2018：GandCrab Mentality演示文稿中找到。

GandCrab v4.0-v4.4的时间发展线

GandCrab销声匿迹的过程

快速的版本迭代，使他们能够成功逃避许多安全公司的检测。一个很好的例子是，Ahnlab发布了一种有针对性的工具，通过创建一个在执行加密程序之前被恶意软件检查过的文件，来防止恶意软件在系统中执行。这引发了两家公司之间的针锋相对，甚至导致攻击者披漏了针对Ahnlab产品的拒绝服务攻击的POC。

然而，GandCrab也不例外，在快速开发期间，也没有怎么考虑产品的安全性，产品也越来越糙，因为在公开的版本中，研究人员就发现了许多错误代码和漏洞。例如，在恶意软件的早期版本中，他们使用硬编码的RC4密钥来加密他们的出站流量，其中也包含私钥，这样就可以解密受害者的勒索文件。另一个简单但严重的漏洞是在生成RSA密钥时没有设置标记。这导致私钥的副本被存储在受害者的系统上

但是，也许他们最大的不幸（我们认为最终导致了他们的销声匿迹）是他们服务器端基础架构被破坏了，这导致了受害者私钥的泄漏。在GandCrab开始运作一个月后，BitDefender就与欧洲刑警组织合作，为GandCrab v1的受害者发布了免费的解密工具。当时，关于他们是如何做到这一点的信息非常有限，至少在勒索软件作案者自己宣布他们的付款页面已经被攻破之前是如此，我们怀疑这导致了解密工具的创建。

GandCrab在他们的付款页面上发布了关于这个漏洞的帖子

我们认为，类似的漏洞最终导致了解密工具的发布，该工具用于解密被新版本恶意软件加密的文件。事实上，就在GandCrab被宣布停止更新后的两周后，BitDefender就发布了一个新版本的解密工具，该工具支持破解最新版本（v5.2）的恶意软件。

总结

GandCrab是一种勒索软件即服务恶意软件，由一个高水平的犯罪组织管理，该组织正在进行一场迅速演变的勒索软件活动。通过他们激进的，虽然不寻常的营销策略和不断招募子公司，以至于该软件能够在全球分发大量的恶意软件。

但是，鉴于投入产出比，GandCrab团队已经不再开发该软件了。但是，考虑到这个威胁组织在整个开发和营销过程中显示出的能力，这份停止运行的公告可能只是他们的营销手段之一。因此，研究人员猜测，它们今后有可能以另一种形式重新出现。

GandCrab勒索病毒就此销声匿迹了吗？相关推荐

勒索病毒GANDCRAB新变种GANDCRAB V5.2新变种来袭你中招了吗？
GANDCRAB勒索病毒新变种GANDCRAB V5.2新变种来袭你中招了吗? 今年网络流行的勒索病毒后缀 phobos/ETH/ITLOCK/MTP/MG/adobe/AOL/xxx4444 GA ...
GandCrab V5.0.6勒索病毒删除+数据恢复（卸载指南）
GandCrab V5.0.6勒索软件 - 密码病毒,它在2018年10月以三种不同的变种形式回归 GandCrab勒索病毒是一种广泛使用的加密病毒,自2018年1月以来一直针对来自世界各地的用户.自 ...
流行勒索病毒分析总结
一.概述信息安全 (Information Security) ,意为保护信息及信息系统不受侵害.主要保护计算机硬件.软件.数据不因偶然的或恶意的原因而遭到破坏.更改.显露.从层面的概念来看,计算机 ...
网络安全应急响应----5、勒索病毒应急响应
文章目录一.勒索病毒简介二.常见勒索病毒三.勒索病毒常见利用漏洞四.勒索病毒的解密 4.1.常见的可解密勒索家族类型 4.2.处理勒索病毒常用工具五.勒索病毒的攻击 5.1.勒索病毒的攻击方 ...
网络安全之认识勒索病毒
一.什么是勒索病毒勒索病毒,是一种新型电脑病毒,伴随数字货币兴起,主要以邮件.程序木马.网页挂马.服务器入侵.捆绑软件等多种形式进行传播,一旦感染将给用户带来无法估量的损失.如果遭受勒索病毒攻击,将 ...
2019勒索病毒攻击盘点，企业该如何做好防范？
看似平静的2019,勒索病毒的危害却并没有减少!近日美国新泽西州最大的医疗机构Hackensack Merdian Health 被证实遭遇勒索软件攻击,导致一定数量的计算机被感染,医护人员只能在没有 ...
垃圾邮件冒充中国工商银行传播Sodinokibi勒索病毒
Sodinokibi勒索病毒在国内首次被发现于2019年4月份,2019年5月24日首次在意大利被发现,在意大利被发现使用RDP攻击的方式进行传播感染,这款病毒被称为GandCrab勒索病毒的接班人, ...
如何恢复GANDCRAB V5.2勒索病毒文件http://gandcrabmfe6mnef.oni
GANDCRAB V5.2勒索病毒是GANDCRAB V5.1的升级版本,由于5.1版本的泄露问题,GANDCRAB V5.2版本更有危害性,解密更复杂. 深圳某客户中了后缀是GANDCRAB V5. ...
Bitdefender 发布GandCrab V5.2勒索病毒解密工具（免费）
2018年1月28日,我们的观察分析师在Bitdefender威胁地图上看到了一个小小的点.这是我们每天在Bitdefender看到的数以百万计的点点,但这一点突显了一个新的勒索软件家族的诞生,这些勒 ...

GandCrab勒索病毒就此销声匿迹了吗？

GandCrab勒索病毒就此销声匿迹了吗？相关推荐

最新文章

热门文章