信息來源：4hou

GandCrab勒索病毒是一種廣泛使用的加密病毒，自2018年1月以來一直活躍在攻擊第一線，目前惡意軟件已經(jīng)出現(xiàn)多種攻擊性變種。

包括：.GDCB，.KRAB，.CRAB，GandCrab 2，GandCrab 3，GandCrab 4，GandCrab v4.1，GanCrab v4.1.2和GanCrab v5。在這么短短的兩年時間里，GandCrab經(jīng)歷了很多版本的更新迭代，傳播感染多式也發(fā)生了很多變化，使用的技術(shù)也不斷升級。不過有一點似乎沒變，就是各個版本的GandCrab都采用了RSA+salsa20相結(jié)合的加密算法，導(dǎo)致加密后的文件，無法被解密。

按著以上所說的發(fā)展趨勢，GandCrab還會再進行迭代，攻擊趨勢也將愈加猛烈！但就在6月初，惡意軟件操作GandCrab背后的威脅組織卻突然宣布他們已終止對該病毒的更新。在此之前，就傳播速度和快速發(fā)展而言，GandCrab一直是過去一年中最活躍的惡意軟件活動之一。 

威脅組織聲稱，他們的“勒索即服務(wù)”（RaaS）運營收入總計20億美元。但由于其子公司占了收入的大部分比例（60％-40％，在某些情況下為70％-30％），所以看似這個業(yè)務(wù)很賺錢，但他們聲稱自己只從其業(yè)務(wù)中賺取了1.5億美元?；谕度氘a(chǎn)出的考量，該組織還是停止了研發(fā)GandCrab的業(yè)務(wù)。

GandCrab被停止更新的通知

具體情況分析

GandCrab于2018年1月28日首次出現(xiàn)在俄羅斯黑客論壇exploit.in上，當(dāng)時文件加密惡意軟件的傳播速度和影響力似乎正在下降。盡管如此，GandCrab仍能發(fā)揮重要作用，僅在出現(xiàn)后的第一個月就感染了5萬多名受害者。

另外，它們出名的一個原因是，它們是第一個只接受DASH加密貨幣作為贖金支付的犯罪組織，盡管后來幕后開發(fā)者還是決定接受其他加密貨幣。開發(fā)者還使用集中式DNS服務(wù)器（a.dnspod.com）使用.BIT TLD托管其C2，該服務(wù)器名義上聲稱可鏡像Namecoin的命名空間。雖然.BIT通常與NameCoin組織的分散DNS項目相關(guān)，但GandCrab與NameCoin的關(guān)系后來被該組織揭穿。

GandCrab在俄羅斯論壇exploit.in的廣告

傳播過程

GandCrab積極的傳播速度網(wǎng)絡(luò)是通過其會員計劃以及與其他服務(wù)（例如二進制加密程序NTCrypt）和其他具有RDP和VNC傳播速度經(jīng)驗的參與者的合作伙伴關(guān)系而建立的。起初，他們只針對西方國家，主要是拉丁美洲。后來，他們擴展到與中國和韓國的惡意軟件傳播速度商合作，直到去年四月，研究人員才發(fā)現(xiàn)了針對韓國的GandCrab有效載荷的垃圾郵件活動。

GandCrab異常但可能有效的營銷策略

由于GandCrab的飛速發(fā)展，F(xiàn)ortiGuard 實驗室還和其他安全研究人員一直在積極地監(jiān)控版本之間的變化。除新功能外，這些功能還包括通過異常但可能有效的營銷策略進行傳播，攻擊者將其嵌入二進制文件中，以混淆研究人員和安全組織的分析。這種做法會制造了一些反分析時的噪音，這可能使它們成為去年被報道最多、談?wù)撟疃嗟睦账鬈浖易逯弧＿@一不同尋常的戰(zhàn)略顯示了一種幾乎空前的犯罪虛張聲勢，甚至是一種不可戰(zhàn)勝的感覺，因為他們能夠不受任何影響地發(fā)布擾亂安全社區(qū)的公開聲明。

開發(fā)者嵌入的嘲諷研究人員和組織的消息

在另一個不同尋常的營銷策略中，GandCrab的開發(fā)者們還利用安全公司的報告來宣傳他們服務(wù)的成功，同時嘲笑他們的對手。

使用來自安全公司的報告作為GandCrab很牛叉的廣告

快速的發(fā)展過程

GandCrab成功的部分原因在于他們使用了敏捷的開發(fā)方法，從而可以快速發(fā)布新版本。這在我們有關(guān)GandCrab v4.x開發(fā)的文章中得到了最好的描述。關(guān)于GandCrab開發(fā)的完整時間表的詳細(xì)討論也可以在我們的AVAR2018：GandCrab Mentality演示文稿中找到。

GandCrab v4.0-v4.4的時間發(fā)展線

GandCrab銷聲匿跡的過程

快速的版本迭代，使他們能夠成功逃避許多安全公司的檢測。一個很好的例子是，Ahnlab發(fā)布了一種有針對性的工具，通過創(chuàng)建一個在執(zhí)行加密程序之前被惡意軟件檢查過的文件，來防止惡意軟件在系統(tǒng)中執(zhí)行。這引發(fā)了兩家公司之間的針鋒相對，甚至導(dǎo)致攻擊者披漏了針對Ahnlab產(chǎn)品的拒絕服務(wù)攻擊的POC。

然而，GandCrab也不例外，在快速開發(fā)期間，也沒有怎么考慮產(chǎn)品的安全性，產(chǎn)品也越來越糙，因為在公開的版本中，研究人員就發(fā)現(xiàn)了許多錯誤代碼和漏洞。例如，在惡意軟件的早期版本中，他們使用硬編碼的RC4密鑰來加密他們的出站流量，其中也包含私鑰，這樣就可以解密受害者的勒索文件。另一個簡單但嚴(yán)重的漏洞是在生成RSA密鑰時沒有設(shè)置標(biāo)記。這導(dǎo)致私鑰的副本被存儲在受害者的系統(tǒng)上

但是，也許他們最大的不幸（我們認(rèn)為最終導(dǎo)致了他們的銷聲匿跡）是他們服務(wù)器端基礎(chǔ)架構(gòu)被破壞了，這導(dǎo)致了受害者私鑰的泄漏。在GandCrab開始運作一個月后，BitDefender就與歐洲刑警組織合作，為GandCrab v1的受害者發(fā)布了免費的解密工具。當(dāng)時，關(guān)于他們是如何做到這一點的信息非常有限，至少在勒索軟件作案者自己宣布他們的付款頁面已經(jīng)被攻破之前是如此，我們懷疑這導(dǎo)致了解密工具的創(chuàng)建。

GandCrab在他們的付款頁面上發(fā)布了關(guān)于這個漏洞的帖子

我們認(rèn)為，類似的漏洞最終導(dǎo)致了解密工具的發(fā)布，該工具用于解密被新版本惡意軟件加密的文件。事實上，就在GandCrab被宣布停止更新后的兩周后，BitDefender就發(fā)布了一個新版本的解密工具，該工具支持破解最新版本（v5.2）的惡意軟件。

總結(jié)

GandCrab是一種勒索軟件即服務(wù)惡意軟件，由一個高水平的犯罪組織管理，該組織正在進行一場迅速演變的勒索軟件活動。通過他們激進的，雖然不尋常的營銷策略和不斷招募子公司，以至于該軟件能夠在全球分發(fā)大量的惡意軟件。

但是， 鑒于投入產(chǎn)出比，GandCrab團隊已經(jīng)不再開發(fā)該軟件了。但是，考慮到這個威脅組織在整個開發(fā)和營銷過程中顯示出的能力，這份停止運行的公告可能只是他們的營銷手段之一。因此，研究人員猜測，它們今后有可能以另一種形式重新出現(xiàn)。