賺了20億美元GandCrab勒索病毒家族的故事

2019年6月1日,GandCrab勒索病毒團隊在相關論壇發表俄語官方聲明,將停止更新,對這款勒索病毒,我跟蹤了一年半,一年半之后GandCrab運營團隊賺夠了,退休了,我卻仍堅持著.跟蹤各種惡意家族樣本.

201961日,GandCrab勒索病毒團隊在相關論壇發表俄語官方聲明,將停止更新,這款2018年最流行的勒索病毒,在20196月終于結束了……然后它的故事完了,錢賺夠了,卻打開了潘多拉魔盒,后面會有越來越多的GandCrab團隊涌現出來……對這款勒索病毒,我跟蹤了一年半,一年半之后GandCrab運營團隊賺夠了,退休了,我卻仍堅持著.跟蹤各種惡意家族樣本…..

圖片1.png

翻譯之后,大概的意思,如下所示:

?

在與我們合作的那一年里,人們已經賺了20多億美元,我們已經成為地下市場中勒索軟件制造者方向的代表者。 我們每周的收入平均為250萬美元。我們每人每年賺得超過1.5億美元。我們成功兌現了這筆錢,并在現實生活和互聯網上的將收獲的錢成功合法化。

我們很高興與你合作,但是,如上所述,所有的好事都會結束。

我們要離開這個當之無愧的退休生活。

我們已經證明,通過做惡行為,報復不會到來。我們證明,在一年內你可以終生賺錢。?我們已經證明,有可能成為一個不是我們自己的話,而是為了表彰其他人。

1、停止代理商活動;

2、我們要求代理商暫停流量

3、從這個日期起的20天內,我們要求代理商以任何方式通過他們的僵尸主機從而將贖金貨幣化?

4、受害者 – 如果您現在購買密鑰,但您的數據將無法恢復,因為密鑰將被刪除

?

?

大概意思就是上面,運營團隊做的很絕,在賺了那么多錢的情況下,仍沒有想著公布密鑰,然后刪除所有的密鑰,之前有團隊稱他們為“俠盜勒索病毒”,是因為他們在后期的版本中避開了敘利亞地區,但他們并沒有“仁慈”放出所有的密鑰,而且選擇銷毀…….

?

開端

GandCrab1.0初出茅廬

GandCrab勒索病毒,我第一次接觸它是在一個國外安全研究人員的論壇上,相關的論壇網站:https://secrary.com/ReversingMalware/UnpackingGandCrab/,如下所示:

圖片2.png當時我覺得這個勒索比較有意思,于是有從app.any.run網站下載到了相關的樣本,如下所示:

圖片3.png2019年1月26號,我第一次分析了GandCrab1.0版本的樣本,它的第一代,使用了代碼自解密技術,在內存中解密出勒索病毒的核心代碼,然后替換到相應的內存空間中執行,當時它只向用戶勒索達世幣,加密后綴為:GDCB,分析完之后GandCrab運營團隊在2019年1月28號,在論壇上發布了相關的出售貼子,如下所示:

圖片4.png

當時我還沒加入現在的公司,也沒發現這款勒索在后面一年半的時候會變的如此火爆……

演變

GandCrab2.0

2018年2月份,我加入了新的公司,負責勒索病毒這塊的業務,GandCrab在2018年3月份的時候演變出了GandCrab2.0版本,主要是因為3月初GandCrab勒索病毒的服務器被羅馬尼亞一家安全公司和警方攻破,可以成功恢復GandCrab加密的文件。病毒開發人員迅速升級了版本V2,并將服務器主機命名為politiaromana.bit,挑釁羅馬尼亞警方,之前服務器的主機為gandcrab.bit…..

?

分析GandCrab2.0版本的,使用了代碼混淆,花指令,反調試等技術,同時它使用了反射式注入技術,將解密出來的勒索病毒核心Payload代碼,注入到相關的進程當中,然后執行相應的勒索加密操作,加密后綴為:CRAB……

?

GandCrab2.1

2018年4月,我接到客戶應急處理,發現了第一例GandCrab勒索案例,通過分析,發現它就是之前我分析過的GandCrab2.0版本的升級,該版本號為GandCrab2.1,然后我們發布了相關的分析預警報告,如下所示:

圖片5.png

GandCrab3.0

在發布預警之后,我監控到了一款新的GandCrab新的變種,命名為GandCrab3.0,這款勒索病毒主要通過郵件附件的方式,在一個DOC文檔中執行VBS腳本,然后下載GandCrab3.0勒索病毒并執行,加密后綴與之前2.0版本一樣為:CRAB,如下所示:

圖片6.png

GandCrab4.0

2018年7月,再次接到客戶應急響應,通過分析發現它屬于GandCrab家族,這次加密后綴為:KRAB,同時勒索運營團隊在勒索信息中首次使用了TOR支付站點的方式,讓受害者聯系,然后解密,我們也在第一時間發布了相關的預警,如下所示:

圖片7.png

GandCarb4.3

GandCrab4.0之后,2018年8月底,我捕獲到了GandCrab的一個新版本GandCrab4.3版本,可見這款勒索更新是如此之快,對樣本進行了詳細分析,并發布了相關的詳細分析報告,如下所示:

圖片8.png

GandCrab5.0

在2018年9月份的時候,我發現這款勒索病毒又更新了,而且使用了更多的方式傳播,不僅僅通過VBS腳本執行下載,還會使用PowerShell腳本,JS腳本的方式下載傳播執行,捕獲取了它的相關樣本,并解密出相應的腳本,如下所示:

圖片9.png同時我們也在第一時間更新了GandCrab5.0版本的預警報告,如下所示:

圖片10.png

GandCrab5.0勒索病毒加密的后綴,不在使用之前的加密后綴,開始使用隨機的加密后綴……

?

?

在GandCrab5.0之后,出現了兩個小版本更新GandCrab5.0.3和GandCrab5.0.4,尤其是GandCrab5.0.4這個版本非常流行,很多客戶中招……

?

GandCrab5.0.3

在2018年10月,我捕獲到了最新的GandCrab5.0.3的傳播JS腳本,同時做了詳細分析,如下所示:

圖片11.png在我發布GandCrab5.0.3分析報告不久之后,GandCrab5.0.4開始非常活躍,大量客戶中招,我們馬上發布了相應的預警報告,如下所示:

圖片12.png

GandCrab5.0.4這個版本一直活躍了很長一段時間,導致大量客戶中招……

?

?

GandCrab5.0.5

在GandCrab5.0.4版本活躍了一段時間之后,全球多家企業以及個人用戶中招,這里有一個小插曲,在10月16日,一位敘利亞用戶在twitter上表示GandCrab勒索病毒加密了他的電腦文件,因為無力支付高達600美元的“贖金”,他再也無法看到因為戰爭喪生的小兒子的照片,如下所示:

圖片13.png

GandCrab勒索病毒運營團隊看到后就發布了一條道歉聲明,并放出了所有敘利亞感染者的解密密匙,GandCrab也隨之進行了V5.0.5更新,將敘利亞加進感染區域的“白名單”,這也是為什么后面有一些安全團隊稱GandCrab為“俠盜勒索病毒”的原因……

?

后面安全公司Bitdefender與歐州型警組織和羅馬尼亞警方合作開發了GandCrab勒索軟件解密工具,解密工具適用于所有已知版本的勒索軟件,該努力是No More Ransom項目的最新成果,這大該也預示著GandCrab勒索病毒快走到了盡頭……

?

解密工具,如下所示:

圖片14.png可解密的版本,如下所示:

圖片15.png圖片16.png

2018年年底,GandCrab勒索病毒,被我“譽為”2018年四大勒索病毒之首,2018年四大勒索病毒:GandCrab、Satan、CrySiS、Globelmpster,也是我最先提出來的,后面各大安全廠商也相應在報告中提到……

?

在年底的時候,我們發布了一個相關的GandCrab預警的總結報告,總結了一下GandCrab在2018年的故事,如下所示:

圖片17.png

2018年GandCrab就這樣活躍了一整年,賺了多少錢,只有他們自己知道……

?

?

?

GandCrab5.1

2019年1月,再次接到客戶應急響應,發現GandCrab5.1版本的勒索病毒,通過分析之后,我們也在第一時間發布了相關的預警報告,如下所示:

圖片18.png

GandCrab5.1勒索病毒與GandCrab5.0.5版本同樣避開了敘利亞地區,對敘利亞地區的主機不進行加密……

?

?

GandCrab5.1版本之后不久,2019年2月安全公司Bitdefender再次更新了GandCrab解密工具,可以解密GandCrab5.1版本的勒索病毒,如下所示:

圖片19.png

經過測試,這款解密工具可以解密GandCrab5.1版本之前的多個版本GandCrab勒索病毒……

?

衰落?

GandCrab5.2

GandCrab5.1火了一段時間,然后隨著GandCrab5.1版本的解密工具的放出,2019年3月,GandCrab運營團隊再次發布了GandCrab5.2版本的勒索病毒,同時國內又有多家企業中招,我們第一時間捕獲到了相應的樣本,然后發布了相應的預警報告,如下所示:

圖片20.png

GandCrab5.3

2019年4月,捕獲到了GandCarb最新的也是最后的一個變種版本樣本GandCrab5.3版本,如下所示:

圖片21.png

在GandCrab爆發的一年半時間里,接到過N起客戶應急響應事件,直到近期,我發現它的傳播渠道開始傳播其他勒索病毒樣本(Sodinokibi、GetCrypt、EZDZ),我心里在想GandCrab換人了?

?

沒想到2019年6月1日,GandCrab運營團隊就在國外論壇上官方宣布了,停止GandCrab勒索病毒的更新……

?

這款勒索病毒,我跟蹤了一年半的時間,從GandCrab1.0到GandCrab5.3,期間有多個大小版本的更新,更新速度之快,傳播方式之多,使用了各種方式進行傳播,相關的報告中也都有所提到,GandCrab運營團隊聲稱已經賺夠了養老錢,不會更新了,然后它并沒有放出所有的解密密鑰……

GandCrab運營團隊研究賺了多少,我們不知道,不過肯定不會少,勒索現在成了黑產來錢最快,也是最暴力的方式,每年全球的勒索運營團隊都會有幾百億的黑產收入,很多大型企業中了勒索而不敢申張,偷偷交贖金解決,相關政企事業單會找安全公司進行應急響應處理……

從GandCrab1.0出來到GandCrab5.3版本,我敢說除了GandCrab運營團隊,全球沒有人比我更了解GandCrab勒索病毒,我一直持續不斷在跟進,追蹤,捕獲最新的樣本,這款勒索病毒更新速度也是真的很快……

我寫過的相關的分析報告(大部分報告已發表到深信服千里目安全實驗室微信公眾號,大家可以關注)

Snipaste_2019-06-03_17-59-02.png抓到的相關樣本

Snipaste_2019-06-03_18-00-26.png

然后一年半之后,GandCrab運營團隊已經賺夠了錢,可以退休了,我卻還在堅守著崗位,賺著微薄的薪水,作為一名安全分析師繼續跟蹤著一個又一個勒索病毒,挖礦病毒,以及各種惡意軟件……

?

有時候我在想,要不要去做黑產?各種安全技術我有,黑產運作我也懂,做安全的這幫人怎么在玩,我也了解,為啥不去做黑產?賺一票了走人?

這么多年做安全,我一直保持著兩點:1.堅持安全研究 ?2.不做黑產

至少現在我能堅守這兩點……

?

GandCrab勒索雖然結束了,然仍安全并沒有結束,而且在后面一定會越來越多的黑產團隊加入,GandCrab也算是打開了潘多拉之盒,會有多少像GandCrab的黑產團隊出來作惡就不知道了,這些年做勒索和挖礦的黑產,基本都發財了,悶聲發著大財……

?

就這樣吧,賺了20億美元GandCrab勒索病毒家族的故事已經結束,但我的故事還在繼續,還有更多各種不同的惡意樣本家族需要我去跟蹤分析,勒索、挖礦,銀行木馬、僵尸網絡、APT間諜遠控等等……

最后歡迎大家關注我的微信公眾號:CyberThreatAnalyst,我會不定期更新相關內容!



4

Loading...

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 重庆百变王牌走势图