2019年6月1日，GandCrab勒索病毒团队在相关论坛上用俄语发布官方声明，表示将停止更新。 2018年最流行的勒索软件终于在2019年6月结束了……然后它的故事就结束了，钱赚够了，就打开了潘多拉魔盒，后面会出现越来越多的GandCrab团队……我跟踪这个勒索软件一年了半。一年半后，GandCrab运营团队赚够了钱，退休了。 ，但我依然坚持追踪各种恶意家族样本……

翻译后大致意思如下：

人们在与我们合作的一年里已经赚了超过 20 亿美元，我们已经成为地下市场勒索软件创建者的典型代表。我们的每周平均收入为 250 万美元。我们每人每年的收入超过 1.5 亿美元。我们成功地兑现了钱，并成功地将现实生活和互联网上的收获合法化。

我们很高兴与您合作，但是，如上所述，好事多磨。

我们即将离开这个当之无愧的退休生活。

我们已经证明，作恶是不会得到报复的。我们证明，一年之内你就可以赚到一辈子的钱。我们已经证明，我们可以不为自己而成为一个词，而是为了尊重他人。

1、停止代理活动；

2.我们要求代理商暂停交通

3. 自该日期起 20 天内，我们要求代理以任何可能的方式通过他们的机器人将赎金货币化

4. 受害者 – 如果您现在购买密钥，您的数据将无法恢复，因为密钥将被删除

大体意思就是上面的意思。运营团队做得很好。即使赚了这么多钱，他们仍然没有想到将密钥公开，然后将所有密钥删除。此前，一个团队将其称为“Grand Rogue Ransomware”。因为他们在后来的版本中避开了叙利亚地区，但他们并没有“仁慈”地释放所有钥匙，而是选择了摧毁……

初出茅庐的GandCrab1.0

第一次接触GandCrab勒索病毒是在国外安全研究人员的一个论坛上，相关论坛网站：，如下图：

当时我觉得这个勒索软件还蛮有趣的，于是就从app.any.run网站下载了相关样本，如下图：

2019年1月26日，我第一次分析了GandCrab 1.0版本样本。其第一代采用代码自解密技术，将勒索病毒在内存中的核心代码解密，然后替换到相应的内存中。它是在太空中执行的。当时它只向用户勒索达世币，加密后缀为：GDCB。经过分析，GandCrab运营团队于2019年1月28日在论坛上发布了相关售卖帖子，如下图：

当时我还没有加入现在的公司，也没有意识到这个勒索软件会在接下来的一年半里变得如此流行......

进化GandCrab2.0

2018年2月，我加入了一家新公司，负责勒索软件业务。 GandCrab于2018年3月演变为GandCrab 2.0版本，主要是因为GandCrab勒索软件服务器于3月初被罗马尼亚一家安全公司攻破。公司和警方已经突破并可以成功恢复GandCrab加密的文件。病毒开发者迅速升级至V2版本，并将服务器主机命名为politiaromana.bit，以挑衅罗马尼亚警方。之前的服务器主机是gandcrab.bit...

对GandCrab 2.0版本的分析采用了代码混淆、花指令、反调试等技术。同时，它利用反射注入技术，将解密后的勒索病毒核心payload代码注入到相关进程中，然后执行相应的Blackmail加密操作，加密后缀为：CRAB...

甘德蟹2.1

2018年4月，我收到客户的紧急响应，发现了第一例GandCrab勒索病毒案例。通过分析，我发现它是我之前分析过的GandCrab2.0版本的升级版。版本号为GandCrab2.1，随后我们发布了相关分析和预警报告如下：

甘蟹3.0

发出警告后，我监控了GandCrab的一个新变种，名为GandCrab3.0。该勒索病毒主要通过电子邮件附件执行DOC文档中的VBS脚本，然后下载GandCrab3.0勒索病毒。并执行，加密后缀与之前2.0版本相同：CRAB，如下图：

甘蟹4.0

2018年7月，我们再次收到客户紧急回复，通过分析发现其属于GandCrab家族。这次的加密后缀是：KRAB。同时，勒索软件运营团队在勒索信息中首次使用TOR支付站点方式让受害者联系。然后解密，我们也第一时间发出了相关警告，如下图：

甘德碳水化合物4.3

GandCrab4.0之后，2018年8月底，我捕获了新版本的GandCrab，版本为GandCrab4.3。可见，这个勒索病毒更新速度如此之快。我对样本进行了详细的分析，并发表了相关的详细分析报告，如下所示：

甘德蟹5.0

2018年9月，我发现这个勒索病毒再次更新，并采用了更多的传播方式。它不仅通过VBS脚本下载，还使用PowerShell脚本和JS脚本进行下载、传播和执行。获取其相关样本并解密对应脚本，如下图：

同时我们也第一时间更新了GandCrab5.0版本的预警报告，如下图：

GandCrab5.0勒索病毒的加密后缀不再使用之前的加密后缀，而是开始使用随机加密后缀……

GandCrab5.0之后，出现了两个小版本，GandCrab5.0.3和GandCrab5.0.4。尤其是GandCrab5.0.4，这个版本很受欢迎，很多客户都被骗了……

甘蟹5.0.3

2018年10月，我捕获了最新的GandCrab5.0.3传播JS脚本，并做了详细分析，如下图：

在我发布GandCrab5.0.3分析报告后不久，GandCrab5.0.4变得非常活跃，大量客户受到影响。我们立即发布了相应的预警报告，如下图：

该版本的GandCrab5.0.4已经活跃了很长时间，导致大量客户被欺骗...

甘蟹5.0.5

GandCrab 5.0.4版本活跃一段时间后，全球许多公司和个人用户都受到影响。这里有一个小插曲。 10月16日，一名叙利亚用户在推特上表示，GandCrab勒索软件已经加密了他的电脑文件。由于无法支付高达600美元的“赎金”，他再也看不到在战争中死去的小儿子的照片，如下图：

GandCrab勒索软件运营团队见状后发表道歉声明，并公布了所有叙利亚感染者的解密密钥。 GandCrab也相应更新了V5.0.5，将叙利亚添加到感染地区“白名单”中。这就是为什么一些安全团队后来将 GandCrab 称为“侠盗勒索软件”……

安全公司 Bitdefender 与欧洲警察组织和罗马尼亚警方合作开发了 GandCrab 勒索软件解密工具。该解密工具适用于所有已知版本的勒索软件。这项努力是 No More Ransom 项目的最新成果，这也应该预示着 GandCrab 勒索软件病毒即将终结……

解密工具，如下图：

可解密版本如下所示：

2018年底，GandCrab勒索病毒被我“盛赞”为2018年四大勒索病毒之首。2018年四大勒索病毒：GandCrab、Satan、CrySiS、Globelmpster也是我最先提到的。制造商也在报告中相应提到...

年底，我们发布了相关的GandCrab预警总结报告，总结了2018年GandCrab的故事，如下：

2018年GandCrab活跃了一整年，赚了多少钱只有他们自己知道……

甘德蟹5.1

2019年1月，我们再次收到客户紧急响应，发现了GandCrab 5.1版本勒索病毒。经过分析，我们也第一时间发布了相关预警报告，如下图：

GandCrab5.1勒索软件和GandCrab5.0.5版本也避开了叙利亚地区，不对叙利亚地区的主机进行加密……

继GandCrab5.1版本之后不久，2019年2月，安全公司Bitdefender再次更新了GandCrab解密工具，可以解密GandCrab5.1版本的勒索病毒，如下图：

经测试，该解密工具可以解密GandCrab5.1之前的多个版本的GandCrab勒索病毒...

拒绝GandCrab5.2

GandCrab5.1已经流行了一段时间，随后随着GandCrab5.1版本解密工具的发布，2019年3月，GandCrab运营团队再次发布了GandCrab5.2版本勒索病毒。与此同时，国内不少企业也受到影响。我们第一时间捕获了相应的样本，然后出具了相应的预警报告，如下图：

甘德蟹5.3

2019年4月，捕获了GandCrab 5.3版本，这是GandCarb的最新也是最后一个变种版本，如下图：

GandCrab疫情爆发一年半以来，我已收到N起客户紧急响应事件。直到最近，我发现它的传输通道开始传播其他勒索软件样本（Sodinokibi、GetCrypt、EZDZ），我就在考虑更换 GandCrab。已经？

没想到，2019年6月1日，GandCrab运营团队在国外论坛正式宣布停止更新GandCrab勒索病毒……

我已经跟踪这个勒索软件一年半了，从 GandCrab 1.0 到 GandCrab 5.3。期间出现了多次大​​大小小的版本更新。更新速度如此之快，传播方式如此之多。它使用了各种方法来传播。相关报道还提到，GandCrab运营团队声称已经赚够了养老钱，不会更新。然后它并没有释放所有的解密密钥......

我们不知道GandCrab运营团队的研究收入有多少，但绝对不会少。敲诈勒索已成为黑人企业最快、最暴力的赚钱方式。每年，世界各地的勒索运营团队都会赚取数百亿的黑色商业收入。不少大企业被勒索后不敢索赔，就偷偷支付赎金来解决问题。有关政府、企事业单位将寻找保安公司进行应急处置...

从GandCrab 1.0到GandCrab 5.3，我敢说，除了GandCrab运营团队，世界上没有人比我更了解GandCrab勒索病毒了。我一直在不断的跟进、追踪、捕捉最新的样本。这个勒索病毒更新速度也真快……

我写过的相关分析报告（大部分报告已发布到深信服千里目安全实验室微信公众号，大家可以关注）

抓获相关样本

然后一年半过去了，GandCrab运营团队已经赚够了退休的钱，但我仍然坚守着自己的工作，拿着微薄的工资，继续以安全分析师的身份追踪一个又一个勒索软件，挖掘病毒，各种恶意软件...

有时我在想，我是否应该进入黑色产业？各种安全技术我都有，也了解黑产业的运作。为什么这些做保安的人这么搞笑？我也明白，为什么不进黑产业呢？赚钱。只需一票就离开？

从事安全工作这么多年，我始终坚持两件事：1、坚持安全研究；2、坚持安全。 2、不做违法产品。

至少现在我可以坚持这两点……

虽然GandCrab勒索事件已经结束，但是安全工作还没有结束，未来肯定会有越来越多的黑制作团队加入。 GandCrab也打开了潘多拉魔盒。有多少像GandCrab这样的黑制作团队会出来作恶？我知道，这些年从事敲诈勒索、挖矿的人，大部分都发了财，悄悄发财了……

就是这样。赚了20亿美元的GandCrab勒索软件家族的故事已经结束了，但我的故事还在继续。我需要跟踪和分析更多不同的恶意样本系列，包括勒索软件、挖矿和银行木马。 、僵尸网络、APT间谍远程控制等...