0
文章源自:微信公众号CyberThreatAnalyst
原创作者:pandazhengzheng
原文链接:https://mp.weixin.qq.com/s/DlPaBxIDN0G_xc4o_1SFKw
轻轻的我走了,正如我轻(高)轻(调)的来。挥一挥衣袖,捎带走20亿美元。
GandCrab,这款2018年最流行的勒索病毒,现在终于宣告退场......它的故事完了,钱赚够了、准备撤了,留下最后一波被勒索的人们,独自在风中凌乱。
2019年6月,GandCrab勒索病毒团队相关论坛发表俄语官方声明,将在一个月内关闭其RaaS(勒索软件即服务)业务。详情如图:
翻译之后,大概意思就是:
“在与我们合作的那一年里,人们已经赚了20多亿美元,我们已经成为地下市场中勒索软件制造方向的代表者。 我们每周的收入平均为250万美元。我们每人每年赚得超过1.5亿美元。我们成功兑现了这笔钱,并在现实生活和互联网上的将收获的钱成功合法化。我们很高兴与你合作,但是,所有的好事都会结束。我们将开启这次当之无愧的退休生活。”
其关停业务将包括:
1、停止代理商活动;
2、我们要求代理商暂停流量
3、从这个日期起的20天内,我们要求代理商以任何方式通过他们的僵尸主机将赎金货币化
4、受害者 – 如果您现在想购买密钥,您的数据将依旧无法恢复,因为密钥将被删除
正如开头说的,这家公司靠勒索软件赚取了超过20亿美元的赎金,运营商每周大约赚250万美元。
然鹅,对于这一年半的“丰功伟绩”,GandCrab对自己的评价是:
“我们已经证明,通过做恶行为,报复不会到来。我们用一年时间,赚够了一生花不完的钱,然后还能用这些钱去做有益的事情。”
看来,GandCrab“跑路”前,还给自己的行为来了个五星好评。
初识GandCrab
“当时是在一个国外安全研究人员的相关论坛网站。当时我觉得勒索比较有意思,于是就从app.any.run网站下载到了相关的样本。”这是身为安全研究员的29A第一次接触GandCrab勒索病毒。
2018年1月26号,29A第一次分析了GandCrab1.0版本的样本。29A称,它的第一代,使用了代码自解密技术,在内存中解密出勒索病毒的核心代码,然后替换到相应的内存空间中执行,当时它只向用户勒索达世币,加密后缀为:GDCB,分析完之后GandCrab运营团队在2018年1月28号,在论坛上发布了相关的出售贴子,如下所示:
“说实话,当时我并没发现这款勒索病毒在后面一年半的时间里会变的如此火爆。”
GandCrab演变史
3月初,GandCrab勒索病毒的服务器被罗马尼亚一家安全公司和警方攻破,可以成功恢复GandCrab加密的文件。于是,病毒开发人员迅速升级了版本V2,并将服务器主机命名为politiaromana.bit,挑衅罗马尼亚警方,之前服务器的主机为gandcrab.bit.....
“这是一个契机,没过多久GandCrab就演变出了GandCrab2.0版本。”
分析GandCrab2.0版本发现,它使用了代码混淆,花指令,反调试等技术,同时使用了反射式注入技术,将解密出来的勒索病毒核心Payload代码,注入到相关的进程当中,然后执行相应的勒索加密操作,加密后缀为:CRAB......
“2018年4月,我接到客户应急处理,发现了第一例GandCrab勒索案例,通过分析,发现它就是之前分析过的GandCrab2.0版本的升级,该版本号为GandCrab2.1。
在发布预警之后,29A再次监控到了一款新的GandCrab变种,并将其命名为GandCrab3.0,这款勒索病毒主要通过邮件附件的方式,在一个DOC文档中执行VBS脚本,然后下载GandCrab3.0勒索病毒并执行,加密后缀与之前2.0版本一样为:CRAB,如下所示:
到了GandCrab4.0,勒索运营团队在勒索信息中首次使用了TOR支付站点的方式,让受害者联系,然后解密,29A也在第一时间发布了相关的预警。
29A称,发现新版本是在2018年7月,当时再次接到了客户应急响应,通过分析发现它属于GandCrab家族,这次加密后缀为:KRAB。
“当时本以为GandCrab要歇一阵了,没想到仅仅是过了一个月GandCarb4.3就出现了。其更新速度之快,映射出GandCrab对于勒索产业重要程度。而紧随其后的,还有GandCrab5.0。”
最后一次更新使用了更多的方式传播,不仅仅通过VBS脚本执行下载,还会使用PowerShell脚本,JS脚本的方式下载传播执行,捕获取了它的相关样本,并解密出相应的脚本,如下所示:
在这之后,是基于GandCrab5.0的两次小更新——GandCrab5.0.3和GandCrab5.0.4。而前者可以说是当时最流行的勒索病毒,中招用户也都多集中在这一版本。
通过对捕获到的最新GandCrab5.0.3传播JS脚本进行分析,其主要功能分为如下4种:
在这之后,GandCrab5.0.4开始活跃起来。
5.0.4小插曲
有趣的是,在GandCrab5.0.4版本向5.0.5迭代前,有一个小插曲让GandCrab更加出名了。
29A称,在GandCrab5.0.4版本活跃了一段时间之后,全球多家企业以及个人用户中招。在10月16日,一位叙利亚用户在twitter上表示GandCrab勒索病毒加密了他的电脑文件,因为无力支付高达600美元的“赎金”,他再也无法看到因为战争丧生的小儿子的照片,如下所示:
事情之后,GandCrab勒索病毒运营团队发布了一条道歉声明,并放出了所有叙利亚感染者的解密密匙,GandCrab也随之进行了V5.0.5更新,将叙利亚加进感染区域的“白名单”。至此,GandCrab得到了一个“侠盗勒索病毒”的美称。
GandCrab的衰落
这之后不久,安全公司Bitdefender与欧州型警组织和罗马尼亚警方合作开发了GandCrab勒索软件解密工具。该解密工具适用于所有已知版本的勒索软件。可解密的版本,如下所示:
该工具是No More Ransom项目的最新研究成果,它的诞生也预示着GandCrab勒索病毒快走到了尽头......
29A将GandCrab、Satan、CrySiS、Globelmpster并成为2018年四大勒索病毒,而GandCrab更是被“誉为”四大勒索病毒之首。在其发布的相关预警总结报告中,GandCrab被比喻成是勒索界海王。
随后,GandCrab5.1、GandCrab5.2版本陆续发布,但这更像是残阳西下前的最后一缕余光,安全厂商很快跟进了其解密工具。
正所谓天下没有不散的宴席,GandCrab5.1火了一段时间,然后随着GandCrab5.1版本解密工具的放出,2019年3月,GandCrab运营团队再次发布了GandCrab5.2版本的勒索病毒,同时国内又有多家企业中招。
“在GandCrab爆发的一年半时间里,接到过N起客户应急响应事件,直到近期,我发现它的传播渠道开始传播其他勒索病毒样本(Sodinokibi、GetCrypt、EZDZ),我心里在想难不成GandCrab换人了?”
后记
之后的事情,大家都已经知道了。
2019年6月1日,GandCrab运营团队就在国外论坛上官方宣布了,停止GandCrab勒索病毒的更新。
“GandCrab运营团队究竟赚了多少,我们不知道,不过肯定不会少,勒索现在成了黑产来钱最快,也是最暴力的方式,每年全球的勒索运营团队都会有几百亿的黑产收入,很多大型企业中了勒索而不敢声张,偷偷交赎金解决,相关政企事业单位会找安全公司进行应急响应处理。”
GandCrab解密工具
在29A看来,GandCrab勒索虽然结束了,然而安全防护并没有结束,而且在后面一定会有越来越多的黑产团队加入。GandCrab算是打开了潘多拉之盒,之后会有多少像GandCrab的黑产团队出来作恶就不得而知了。
“这些年做勒索和挖矿的黑产,基本都发财了,而且是闷声发着大财。抵御诱惑是做安全的人的基本素养,这么多年做安全,我一直保持着两点,一个是坚持安全研究,一个是不做黑产,至少现在我能坚守这两点。”雷锋网雷锋网雷锋网
雷峰网版权文章,未经授权禁止转载。详情见转载须知。