“年赚”百亿赎金 病毒制造者宣布“退休”一年

“我们证明了做恶不一定有恶报，也证明了一年可以赚钱一辈子。”

近日，GandCrab勒索病毒以赢家身份宣布“退役”。 此前，它已在巴西、美国、印度、中国等国家肆虐一年多，勒索金额超过20亿美元（约合人民币134亿元）的赎金。

【深链原创】

文丨门卫

勒索20亿美元后，金盆洗净

做坏事就不会有报应吗？

它已在全球肆虐一年多，导致巴西、美国、印度、中国等国家的计算机遭到入侵。 6 月 2 日，GandCrab 勒索软件的开发者在 Exploit.in（地下黑客和恶意软件论坛）上发帖，宣布他已“洗手”。

GandCrab 的开发者表示，通过与他们合作一年，人们（购买勒索软件的黑客）已经赚取了超过 20 亿美元（约合人民币 134 亿元）的收入，平均每周收入 250 万美元。 GandCrab也在这个领域名声大噪。

GandCrab的开发者透露，他们已获得1.5亿美元的个人收入，并通过实体、互联网等行业成功洗钱，“正准备退休”。

“我们证明了做恶不一定有恶报；我们也证明了我们可以在一年之内赚一辈子的钱；我们也证明了可以成为别人眼中的第一，而不是在我们自己的眼里。”

此外，GandCrab还宣布，他们将在接下来的时间内暂停病毒软件销售的广告和信息流。 对于勒索病毒的受害者来说，如果现在不购买解锁工具，以后就无法恢复数据。 密钥也将被删除。

今年3月，“政府部门遭到勒索软件攻击，要求支付数字货币”的消息广为流传，而背后的罪魁祸首就是GandCrab。

“自2019年3月11日起，境外某黑客组织对我国相关政府部门发起勒索邮件攻击，邮件主题为‘3月11日下午3点必须到警局报到！’，邮件内容如下：附件名为‘03-11-19.rar’，技术分析显示该勒索病毒版本号为GANDCRAB V5.2，为2019年2月升级的最新勒索病毒版本。

湖北省宜昌市夷陵区政府等多家单位在官网发布了《关于防范勒索软件GANDCRAB攻击的公告》。

当用户无意中点击GandCrab的邮件运行软件后，勒索软件会对用户主机硬盘上的数据进行加密。 只有登录攻击者提供的访问URL下载Tor浏览器并支付一定数量的加密货币赎金，才能获得解锁密钥。

由于其强大的技术和广泛的传播，GandCrab成为2018年最有影响力的勒索软件，正如GandCrab的开发者所说，它已经成为“别人眼中的第一”。

“侠盗”，贩卖病毒，收取佣金，勒索达世币

不同于其他勒索病毒的恶名，因为之前的“叙利亚钥匙事件”，GandCrab获得了“侠盗病毒”的称号，带上了光环色。

2018年10月16日，一位叙利亚父亲发推求救，称自己的孩子在战火中牺牲，脑子里只剩下保存在电脑里的视频和照片，GandCrabV5.0.3病毒锁定了他的电脑。

“他们要价 600 美元，让我把‘孩子’还给我。我没有足够的钱养活自己和妻子，哪里来的钱付给他们？”

在看到这位叙利亚父亲的推文后，GandCrab 的开发者很快在论坛上道歉，称没有将叙利亚列入豁免名单是错误的，并表示已经发布了所有叙利亚受害者所需的密钥。

随后，GandCrab进行了V5.0.5更新，将叙利亚等战乱地区列入勒索软件“白名单”。

事实上，GandCrab自诞生以来，不断更新迭代，其侵权能力也不断增强，让不少安全人员束手无策，称其为“无法破解的病毒”。

有网友表示，他们公司的电脑感染了GandCrab病毒。 因为破解不了，又不想交赎金，只好格式化电脑，清空所有内容。

2018 年 1 月底，国外安全研究人员发现了 GandCrab 病毒的第一个版本。 据分析，GandCrab主要通过名为Seamless的恶意广告软件传播。 攻击者使用顶级漏洞利用工具包来查找计算机系统中的软件漏洞，并在未经用户许可的情况下安装 GandCrab。

次年 2 月，另一家网络安全公司的研究人员发现 GandCrab 正在通过勒索软件即服务 (RaaS) 平台进行销售。

换言之，GandCrab勒索病毒的开发者本身并不打算通过传播病毒来勒索赎金，而是通过销售病毒软件来牟利。

据了解，当感染病毒的用户向攻击者支付赎金时，GandCrab的开发者将收取约30%的佣金。

但是，对于买家，GandCrab 有严格的限制：买家不得以位于独立国家联合体（阿塞拜疆、亚美尼亚、白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦、俄罗斯、塔吉克斯坦、土库曼斯坦、乌兹别克斯坦和乌克兰）的计算机用户为目标。

有专家推测，之所以有这样的限制，可能是因为GandCrab的开发者是俄罗斯人。

通过RaaS的公开发售，GandCrab迅速传播并攻击巴西、美国、印度、印度尼西亚、巴基斯坦等国家的计算机。

2019年3月，GandCrab开始入侵中国，政府、企业、相关科研机构上千台电脑感染病毒。 一时间，湖北省宜昌市夷陵区政府、中科院金属研究所、云南师范大学等多家单位纷纷在官网发布公告，防范病毒侵袭。

与其他勒索软件相比，GandCrab 也有一些不同之处。

虽然大多数勒索软件选择使用比特币或门罗币作为赎金，但 GandCrab 选择了达世币 (DASH)，这是一种以前从未被用作赎金的货币。

据悉，第一代GandCrab勒索金额为1.54个达世币（当时约合1200美元），可能是因为达世币比较少，后来GandCrab加入了比特币作为赎金支付手段。

2018年底网上买卖比特币被刑警抓了，GandCrab开发者在论坛上表示，他们共收到了超过285万美元的达世币和比特币。

加密货币与暗黑产业的互补性

5月26日，在GandCrab宣布金盆洗手的前一周，易到用车官方微信发布称，易到用车服务器连续遭受攻击，攻击者索要巨额比特币威胁，导致加密易到用车的核心数据。 ，服务器已关闭。

5月7日，美国巴尔的摩市政府服务器遭到“Robbinhood”勒索软件攻击，该市的房产交易、在线支付等服务受到影响。 攻击者向巴尔的摩市政府索要 13 个比特币。

2017年初，同样使用比特币作为赎金的WannaCry勒索病毒在全球肆虐，对150多个国家和地区的30万用户电脑造成感染和攻击，影响金融、能源、教育、医疗等领域。 业，造成约80亿美元的巨额亏损。

直到 2018 年，WannaCry 的残余仍然存在。 8月，台积电旗下三个晶圆厂的生产线被WannaCry变种病毒入侵。

事实上，自从比特币等加密货币诞生以来，它们就一直与黑暗产业保持着暧昧的关系。 从某种意义上说，它们可以说是相辅相成的。 勒索软件和黑市交易利用比特币的隐私和匿名性来保证自身的安全。 同时，它们也为比特币等提供流通场景，支撑其价值。

如果说2008年，Lassler Haunets用10000个比特币换了两个披萨，第一次给出了比特币的价格。 那么黑产业在一定程度上“推广”了比特币的支付方式。 即使在比特币市值已经超过1400亿美元的今天，很多人仍然认为黑市是比特币的价值支撑。

GandCrab勒索病毒以胜利的姿态宣告“一切美好都会结束”，但实际上，无论有没有加密技术，只要有财富的诱惑网上买卖比特币被刑警抓了，这种作恶行为就会一直持续下去。