編者按：本文來源創(chuàng)業(yè)邦專欄深鏈Deepchain(ID：deepchainvip)，作者 門人 。

“我們已經(jīng)證明了作惡不一定有惡報，也證明了一年時間就可以賺一輩子的錢?！?/p>

近日，GandCrab勒索病毒以勝利者的姿態(tài)宣布“退休”，而這之前，其已在巴西、美國、印度、中國等多個國家肆虐了一年多時間，勒索超過20億美元(約134億人民幣)的贖金。

勒索20億美元后，金盆洗手

作惡不會遭報應(yīng)？

在全球肆虐了一年多時間，致使巴西、美國、印度、中國等多個國家的電腦受侵害后。6月2日，GandCrab勒索病毒開發(fā)者在Exploit.in(地下黑客和惡意軟件論壇)發(fā)帖宣布“金盆洗手”。

GandCrab開發(fā)者表示，通過與他們合作一年時間，人們(購買勒索軟件的黑客)已經(jīng)獲得了超過20億美元(約134億人民幣)的收入，平均每周入賬250萬美元，GandCrab也在該領(lǐng)域名聲大噪。

GandCrab開發(fā)者透露他們獲得了1.5億美元的個人收入，并且已通過實體和互聯(lián)網(wǎng)等產(chǎn)業(yè)成功將這筆錢洗白，“正準備退休”。

“我們已經(jīng)證明了作惡不一定有惡報；也證明了在一年內(nèi)就可以賺一輩子的錢；更證明了成為別人眼中，而不是自己口中的第一名是有可能的?！?/p>

另外，GandCrab還宣布在接下來的時間他們會暫停病毒軟件售賣的廣告和信息流，對于勒索病毒的受害者來說，如果現(xiàn)在不去買解鎖工具的話，數(shù)據(jù)在之后將會無法恢復(fù)，密鑰也將被刪除。

今年3月份，“政府部門被勒索病毒攻擊，要求支付數(shù)字貨幣”的新聞廣泛傳播，背后的元兇就是GandCrab。

“自2019年3月11日起，境外某黑客組織對我國有關(guān)政府部門開展勒索病毒郵件攻擊。郵件主題為‘你必須在3月11日下午3點向警察局報到！’，郵件附件名為‘03-11-19.rar’。技術(shù)分析顯示，該勒索病毒版本號為GANDCRAB V5.2，是2019年2月最新升級的勒索病毒版本。”

湖北省宜昌市夷陵區(qū)政府等多個機構(gòu)都在官網(wǎng)上發(fā)布“防范勒索病毒GANDCRAB攻擊的公告”。

在用戶無意點擊GandCrab的郵件運行軟件后，勒索病毒將對用戶主機硬盤數(shù)據(jù)全盤加密，只有登錄攻擊者提供的訪問網(wǎng)址下載Tor瀏覽器，支付一定數(shù)量的加密貨幣贖金后才能獲得解鎖的密鑰。

因為技術(shù)強悍難以破解加之傳播的廣泛性，GandCrab一躍成為了2018年最具有影響力的勒索病毒軟件，就像GandCrab開發(fā)者所說的，成為了“別人眼中的第一名”。

“俠盜”，賣病毒，收傭金，勒索達世幣

和其他勒索軟件的臭名昭著不同，因為之前的“敘利亞密鑰事件”，GandCrab獲得了一個帶有光環(huán)色彩的“俠盜病毒”稱號。

2018年10月16日，一位敘利亞的父親發(fā)推特求助，稱自己的孩子都在戰(zhàn)亂中死去了，唯一留下的念想就是保存在電腦里的視頻和照片，而GandCrabV5.0.3病毒鎖了他的電腦。

“他們要600美元才能把我的‘孩子’還給我，我都沒有錢讓自己和妻子吃飽飯，又哪來的錢付給他們呢？”

看到這位敘利亞父親推特后，GandCrab開發(fā)者很快就在論壇上道歉，稱沒有將敘利亞列入免攻擊名單是一個錯誤，并表示已經(jīng)發(fā)布了所有敘利亞受害者所需的密鑰。

隨后，GandCrab進行了V5.0.5更新，將敘利亞在內(nèi)的其他戰(zhàn)亂地區(qū)都列入勒索病毒的“白名單”。

事實上，自誕生以來GandCrab就不斷更新迭代，侵害能力也隨之增強，以致于很多安全人員都束手無策，稱其為“無法破解的病毒”。

有網(wǎng)友表示其公司電腦感染了GandCrab病毒，因為無法破解又不想支付贖金最后不得不格式化電腦，清空了所有內(nèi)容。

2018年1月底，有國外安全研究員發(fā)現(xiàn)了GandCrab病毒的第一個版本。據(jù)分析，GandCrab主要通過一種名為Seamless的惡意廣告軟件進行傳播。攻擊者使用了頂級漏洞利用工具包來尋找計算機系統(tǒng)中的軟件漏洞，并在未經(jīng)用戶許可的情況下安裝GandCrab。

接下來的2月份，又有網(wǎng)絡(luò)安全公司的研究人員發(fā)現(xiàn)GandCrab正在通過勒索軟件即服務(wù)(Ransomware-as-a-service，RaaS)平臺進行出售。

也就是說，GandCrab勒索軟件的開發(fā)者并不打算自己去散布病毒勒索贖金，而是通過賣出病毒軟件，抽成獲益。

據(jù)了解，當(dāng)受病毒感染的用戶支付給攻擊者贖金時，GandCrab開發(fā)者會收取大約30%左右的抽成。

不過，對于購買者，GandCrab進行了嚴格的限制：購買者不得將位于獨立國家聯(lián)合體(阿塞拜疆、亞美尼亞、白俄羅斯、哈薩克斯坦、吉爾吉斯斯坦、摩爾多瓦、俄羅斯、塔吉克斯坦、土庫曼斯坦、烏茲別克斯坦和烏克蘭)的計算機用戶作為攻擊目標。

有專家推斷，之所以有這樣的限制，可能是因為GandCrab的開發(fā)者是俄羅斯人。

通過在RaaS上公開售賣，GandCrab迅速擴散，相繼攻擊了巴西、美國、印度、印度尼西亞、巴基斯坦等多個國家的計算機。

2019年3月GandCrab開始入侵中國，上千臺政府、企業(yè)以及相關(guān)科研機構(gòu)的電腦感染病毒。一時間包括湖北省宜昌市夷陵區(qū)政府、中國科學(xué)院金屬研究所、云南師范大學(xué)在內(nèi)的很多機構(gòu)都在官網(wǎng)上發(fā)布防范病毒攻擊的公告。

和其他勒索軟件相比，GandCrab還有一些不同之處。

在多數(shù)勒索軟件都選擇以比特幣或者門羅幣作為贖金的情況下，GandCrab卻選擇了達世幣(DASH)這個之前從未被作為勒索贖金的幣種。

據(jù)悉，第一代GandCrab勒索金額為1.54個達世幣(當(dāng)時約為1200美元)，也許是因為達世幣相對小眾，在之后，GandCrab又增加了比特幣作為贖金支付手段。

2018年末，GandCrab開發(fā)者在論壇上表示，其獲得的達世幣和比特幣共計超過285萬美元。

加密貨幣與暗黑產(chǎn)業(yè)的相互成全

在GandCrab宣布金盆洗手的前一周，5月26日，易到用車發(fā)布官方微信稱，易到用車服務(wù)器遭遇連續(xù)攻擊，攻擊者索要巨額比特幣相要挾，攻擊導(dǎo)致易到核心數(shù)據(jù)被加密，服務(wù)器宕機。

5月7日，美國巴爾的摩市政府服務(wù)器遭到“Robbinhood”勒索軟件攻擊，該市房地產(chǎn)交易和在線支付等服務(wù)受到影響，攻擊者向巴爾的摩市政府索要13枚比特幣。

更早之前的2017年，同樣以比特幣作為贖金的WannaCry勒索病毒肆虐全球，導(dǎo)致150多個國家和地區(qū)的30萬用戶的電腦遭受感染和攻擊，波及到金融、能源、教育、醫(yī)療等多個行業(yè)，造成約80億美金的巨額損失。

直到2018年，WannaCry的余孽猶存，8月份臺積電三座晶圓廠生產(chǎn)線遭到WannaCry的變種病毒入侵，這也是臺積電第一次被病毒入侵，外界預(yù)估損失約11.5億元。

事實上，自比特幣等加密貨幣誕生以來就與暗黑產(chǎn)業(yè)保持著曖昧關(guān)系，某種意義上可以說相互成全。勒索病毒軟件、黑市交易利用比特幣隱私性、匿名性來保障自身的安全，同時也為比特幣等提供了流通場景，支撐了其價值。

如果說，2008年拉絲勒·豪涅茨用一萬個比特幣換兩塊披薩的行為，第一次給了比特幣價格的話。那么暗黑產(chǎn)業(yè)則在某種程度上將比特幣這種支付手段“發(fā)揚光大”。即使是在比特幣市值已超過1400多億美元的今天，依舊有不少人認為，黑市是比特幣的價值支撐。

GandCrab勒索病毒以勝利的姿態(tài)宣布“所有美好的事情都會結(jié)束”，但事實上，不管有沒有加密貨幣技術(shù)，只要有財富的誘惑，這種作惡的行為就還會繼續(xù)。

本文為專欄作者授權(quán)創(chuàng)業(yè)邦發(fā)表，版權(quán)歸原作者所有。文章系作者個人觀點，不代表創(chuàng)業(yè)邦立場，轉(zhuǎn)載請聯(lián)系原作者。如有任何疑問，請聯(lián)系editor@cyzone.cn。