編者按：本文來(lái)源創(chuàng)業(yè)邦專(zhuān)欄深鏈Deepchain(ID：deepchainvip)，作者 門(mén)人 。

“我們已經(jīng)證明了作惡不一定有惡報(bào)，也證明了一年時(shí)間就可以賺一輩子的錢(qián)?！?/p>

近日，GandCrab勒索病毒以勝利者的姿態(tài)宣布“退休”，而這之前，其已在巴西、美國(guó)、印度、中國(guó)等多個(gè)國(guó)家肆虐了一年多時(shí)間，勒索超過(guò)20億美元(約134億人民幣)的贖金。

勒索20億美元后，金盆洗手

作惡不會(huì)遭報(bào)應(yīng)？

在全球肆虐了一年多時(shí)間，致使巴西、美國(guó)、印度、中國(guó)等多個(gè)國(guó)家的電腦受侵害后。6月2日，GandCrab勒索病毒開(kāi)發(fā)者在Exploit.in(地下黑客和惡意軟件論壇)發(fā)帖宣布“金盆洗手”。

GandCrab開(kāi)發(fā)者表示，通過(guò)與他們合作一年時(shí)間，人們(購(gòu)買(mǎi)勒索軟件的黑客)已經(jīng)獲得了超過(guò)20億美元(約134億人民幣)的收入，平均每周入賬250萬(wàn)美元，GandCrab也在該領(lǐng)域名聲大噪。

GandCrab開(kāi)發(fā)者透露他們獲得了1.5億美元的個(gè)人收入，并且已通過(guò)實(shí)體和互聯(lián)網(wǎng)等產(chǎn)業(yè)成功將這筆錢(qián)洗白，“正準(zhǔn)備退休”。

“我們已經(jīng)證明了作惡不一定有惡報(bào)；也證明了在一年內(nèi)就可以賺一輩子的錢(qián)；更證明了成為別人眼中，而不是自己口中的第一名是有可能的。”

另外，GandCrab還宣布在接下來(lái)的時(shí)間他們會(huì)暫停病毒軟件售賣(mài)的廣告和信息流，對(duì)于勒索病毒的受害者來(lái)說(shuō)，如果現(xiàn)在不去買(mǎi)解鎖工具的話，數(shù)據(jù)在之后將會(huì)無(wú)法恢復(fù)，密鑰也將被刪除。

今年3月份，“政府部門(mén)被勒索病毒攻擊，要求支付數(shù)字貨幣”的新聞廣泛傳播，背后的元兇就是GandCrab。

“自2019年3月11日起，境外某黑客組織對(duì)我國(guó)有關(guān)政府部門(mén)開(kāi)展勒索病毒郵件攻擊。郵件主題為‘你必須在3月11日下午3點(diǎn)向警察局報(bào)到！’，郵件附件名為‘03-11-19.rar’。技術(shù)分析顯示，該勒索病毒版本號(hào)為GANDCRAB V5.2，是2019年2月最新升級(jí)的勒索病毒版本?！?/p>

湖北省宜昌市夷陵區(qū)政府等多個(gè)機(jī)構(gòu)都在官網(wǎng)上發(fā)布“防范勒索病毒GANDCRAB攻擊的公告”。

在用戶(hù)無(wú)意點(diǎn)擊GandCrab的郵件運(yùn)行軟件后，勒索病毒將對(duì)用戶(hù)主機(jī)硬盤(pán)數(shù)據(jù)全盤(pán)加密，只有登錄攻擊者提供的訪問(wèn)網(wǎng)址下載Tor瀏覽器，支付一定數(shù)量的加密貨幣贖金后才能獲得解鎖的密鑰。

因?yàn)榧夹g(shù)強(qiáng)悍難以破解加之傳播的廣泛性，GandCrab一躍成為了2018年最具有影響力的勒索病毒軟件，就像GandCrab開(kāi)發(fā)者所說(shuō)的，成為了“別人眼中的第一名”。

“俠盜”，賣(mài)病毒，收傭金，勒索達(dá)世幣

和其他勒索軟件的臭名昭著不同，因?yàn)橹暗摹皵⒗麃喢荑€事件”，GandCrab獲得了一個(gè)帶有光環(huán)色彩的“俠盜病毒”稱(chēng)號(hào)。

2018年10月16日，一位敘利亞的父親發(fā)推特求助，稱(chēng)自己的孩子都在戰(zhàn)亂中死去了，唯一留下的念想就是保存在電腦里的視頻和照片，而GandCrabV5.0.3病毒鎖了他的電腦。

“他們要600美元才能把我的‘孩子’還給我，我都沒(méi)有錢(qián)讓自己和妻子吃飽飯，又哪來(lái)的錢(qián)付給他們呢？”

看到這位敘利亞父親推特后，GandCrab開(kāi)發(fā)者很快就在論壇上道歉，稱(chēng)沒(méi)有將敘利亞列入免攻擊名單是一個(gè)錯(cuò)誤，并表示已經(jīng)發(fā)布了所有敘利亞受害者所需的密鑰。

隨后，GandCrab進(jìn)行了V5.0.5更新，將敘利亞在內(nèi)的其他戰(zhàn)亂地區(qū)都列入勒索病毒的“白名單”。

事實(shí)上，自誕生以來(lái)GandCrab就不斷更新迭代，侵害能力也隨之增強(qiáng)，以致于很多安全人員都束手無(wú)策，稱(chēng)其為“無(wú)法破解的病毒”。

有網(wǎng)友表示其公司電腦感染了GandCrab病毒，因?yàn)闊o(wú)法破解又不想支付贖金最后不得不格式化電腦，清空了所有內(nèi)容。

2018年1月底，有國(guó)外安全研究員發(fā)現(xiàn)了GandCrab病毒的第一個(gè)版本。據(jù)分析，GandCrab主要通過(guò)一種名為Seamless的惡意廣告軟件進(jìn)行傳播。攻擊者使用了頂級(jí)漏洞利用工具包來(lái)尋找計(jì)算機(jī)系統(tǒng)中的軟件漏洞，并在未經(jīng)用戶(hù)許可的情況下安裝GandCrab。

接下來(lái)的2月份，又有網(wǎng)絡(luò)安全公司的研究人員發(fā)現(xiàn)GandCrab正在通過(guò)勒索軟件即服務(wù)(Ransomware-as-a-service，RaaS)平臺(tái)進(jìn)行出售。

也就是說(shuō)，GandCrab勒索軟件的開(kāi)發(fā)者并不打算自己去散布病毒勒索贖金，而是通過(guò)賣(mài)出病毒軟件，抽成獲益。

據(jù)了解，當(dāng)受病毒感染的用戶(hù)支付給攻擊者贖金時(shí)，GandCrab開(kāi)發(fā)者會(huì)收取大約30%左右的抽成。

不過(guò)，對(duì)于購(gòu)買(mǎi)者，GandCrab進(jìn)行了嚴(yán)格的限制：購(gòu)買(mǎi)者不得將位于獨(dú)立國(guó)家聯(lián)合體(阿塞拜疆、亞美尼亞、白俄羅斯、哈薩克斯坦、吉爾吉斯斯坦、摩爾多瓦、俄羅斯、塔吉克斯坦、土庫(kù)曼斯坦、烏茲別克斯坦和烏克蘭)的計(jì)算機(jī)用戶(hù)作為攻擊目標(biāo)。

有專(zhuān)家推斷，之所以有這樣的限制，可能是因?yàn)镚andCrab的開(kāi)發(fā)者是俄羅斯人。

通過(guò)在RaaS上公開(kāi)售賣(mài)，GandCrab迅速擴(kuò)散，相繼攻擊了巴西、美國(guó)、印度、印度尼西亞、巴基斯坦等多個(gè)國(guó)家的計(jì)算機(jī)。

2019年3月GandCrab開(kāi)始入侵中國(guó)，上千臺(tái)政府、企業(yè)以及相關(guān)科研機(jī)構(gòu)的電腦感染病毒。一時(shí)間包括湖北省宜昌市夷陵區(qū)政府、中國(guó)科學(xué)院金屬研究所、云南師范大學(xué)在內(nèi)的很多機(jī)構(gòu)都在官網(wǎng)上發(fā)布防范病毒攻擊的公告。

和其他勒索軟件相比，GandCrab還有一些不同之處。

在多數(shù)勒索軟件都選擇以比特幣或者門(mén)羅幣作為贖金的情況下，GandCrab卻選擇了達(dá)世幣(DASH)這個(gè)之前從未被作為勒索贖金的幣種。

據(jù)悉，第一代GandCrab勒索金額為1.54個(gè)達(dá)世幣(當(dāng)時(shí)約為1200美元)，也許是因?yàn)檫_(dá)世幣相對(duì)小眾，在之后，GandCrab又增加了比特幣作為贖金支付手段。

2018年末，GandCrab開(kāi)發(fā)者在論壇上表示，其獲得的達(dá)世幣和比特幣共計(jì)超過(guò)285萬(wàn)美元。

加密貨幣與暗黑產(chǎn)業(yè)的相互成全

在GandCrab宣布金盆洗手的前一周，5月26日，易到用車(chē)發(fā)布官方微信稱(chēng)，易到用車(chē)服務(wù)器遭遇連續(xù)攻擊，攻擊者索要巨額比特幣相要挾，攻擊導(dǎo)致易到核心數(shù)據(jù)被加密，服務(wù)器宕機(jī)。

5月7日，美國(guó)巴爾的摩市政府服務(wù)器遭到“Robbinhood”勒索軟件攻擊，該市房地產(chǎn)交易和在線支付等服務(wù)受到影響，攻擊者向巴爾的摩市政府索要13枚比特幣。

更早之前的2017年，同樣以比特幣作為贖金的WannaCry勒索病毒肆虐全球，導(dǎo)致150多個(gè)國(guó)家和地區(qū)的30萬(wàn)用戶(hù)的電腦遭受感染和攻擊，波及到金融、能源、教育、醫(yī)療等多個(gè)行業(yè)，造成約80億美金的巨額損失。

直到2018年，WannaCry的余孽猶存，8月份臺(tái)積電三座晶圓廠生產(chǎn)線遭到WannaCry的變種病毒入侵，這也是臺(tái)積電第一次被病毒入侵，外界預(yù)估損失約11.5億元。

事實(shí)上，自比特幣等加密貨幣誕生以來(lái)就與暗黑產(chǎn)業(yè)保持著曖昧關(guān)系，某種意義上可以說(shuō)相互成全。勒索病毒軟件、黑市交易利用比特幣隱私性、匿名性來(lái)保障自身的安全，同時(shí)也為比特幣等提供了流通場(chǎng)景，支撐了其價(jià)值。

如果說(shuō)，2008年拉絲勒·豪涅茨用一萬(wàn)個(gè)比特幣換兩塊披薩的行為，第一次給了比特幣價(jià)格的話。那么暗黑產(chǎn)業(yè)則在某種程度上將比特幣這種支付手段“發(fā)揚(yáng)光大”。即使是在比特幣市值已超過(guò)1400多億美元的今天，依舊有不少人認(rèn)為，黑市是比特幣的價(jià)值支撐。

GandCrab勒索病毒以勝利的姿態(tài)宣布“所有美好的事情都會(huì)結(jié)束”，但事實(shí)上，不管有沒(méi)有加密貨幣技術(shù)，只要有財(cái)富的誘惑，這種作惡的行為就還會(huì)繼續(xù)。

本文為專(zhuān)欄作者授權(quán)創(chuàng)業(yè)邦發(fā)表，版權(quán)歸原作者所有。文章系作者個(gè)人觀點(diǎn)，不代表創(chuàng)業(yè)邦立場(chǎng)，轉(zhuǎn)載請(qǐng)聯(lián)系原作者。如有任何疑問(wèn)，請(qǐng)聯(lián)系editor@cyzone.cn。