赚够20亿就收手？这群黑客留下的是传说还是一地鸡毛

GandCrab勒索病毒背后的黑客团队，留下一封“诀别信”，这个一度被尊称为“侠盗”的病毒团伙宣布从此金盆洗手。

这本来是美事一桩，但奈何这群家伙口气太过猖狂，让全世界的白帽黑客和惨遭毒手的受害者如鲠在喉。

退隐江湖的“侠盗病毒”

退隐官方声明被GandCrab团队发布在一个俄语论坛中， 划下重点，让各位感受一下这群流氓的嚣张气焰：

第一，出道16个月来，我们每人每年入账1.5亿美元，还成功把这些钱提现洗白了。
第二，跟我们合作的代理商、渠道商们也赚了20多亿美元。
第三，各种代理商现在立刻暂停推广，尽快套现收工。
第四，被加密的受害者要尽快付款，否则20天以后，解密用的密钥将会被彻底删除，你们的资料永远救不回来了。
第五，也是最重要的一点，我们证实了做坏事不会有报应，也证明了一年能赚一辈子的钱，往后余生，我们要挥金如土、风流快活去。

这个在2018年1月首次出现的病毒，在接近一年多的时间内，经历了五个大版本的更迭，在GandCrab5.1及早期版本都能被解密后，黑客坐不住了，加紧开发出GandCrab5.2版本，由于采用RSA+Salsa20 的加密方式，在没有拿到病毒作者私钥的情况下根本无法解密。

GandCrab之所以能成为如此流行的恶意软件，有一个重要原因在于它采用了“勒索软件即服务”的商业模式，也就是利用暗网，勒索作者把勒索程序出售给技术弱鸡，还提供全天候的在线支持、包教包会，后者可以利用它来打家劫舍，或者假装好人（协助中毒者解密）， 有钱一起赚。

这也就是我们多次披露的病毒团伙利益链条，从病毒作者、渠道代理、勒索者到解密公司形成了完整闭环，被套牢的只有无辜的中毒者。据估计，从2018年7月到10月之间，全世界约有500000名受害者感染了V4或V5版本的GandCrab。

(很多读者表示很喜欢这个生动的示意图)

最讽刺的是，GandCrab因为攻击避开了叙利亚地区的人们，而被冠上“侠盗病毒”的美名，当真是放下屠刀便能立地成佛吗？——无数被锁的受害者，电脑中的数据受到了不可逆的破坏，所遭受的损失和伤害远非高额赎金可以衡量。

而始作俑者正带着巨款在世界上的某个角落大肆挥霍，这样的行径，哪里有一丝“侠道”可言？

“侠盗”退场，留下了传说还是噩梦？

最直接受影响的，肯定是不幸“中毒”的受害者和企业，因为绑匪揣着钥匙跑路了，即使交了钱，也不见得能在短短20天以内得到解密。

但后果远不止于此。

仅仅一个病毒，在短短16个月内便在世界范围内薅走20亿+美元，还没算上他们手底下赚得盘满钵满的推广渠道和勒索解密代理，最后还能全身而退，这势必要刺激更多人铤而走险。

新人跃跃欲试，原来钱这么好赚；老人愤愤不平，为什么我没赚这么多。 这封告别书就像一颗炸弹，将引爆黑暗中更多人的贪欲，可以预见，在未来相当长一段时间内，会出现越来越多的勒索病毒。

更可怕的是，GandCrab的隐退很可能只是一张空头支票，哪天钱花光了，换个名头卷土重来，不知又会引起怎样的风波。

事实上，这种从“抵抗”出发的安全观，随着各种产业、企业与数字化技术结合得日益紧密，个人的互联网体验也不断“云”化，已经变得不合时宜。黑产为了逐利总是花招百出，无论是企业还是个人，做到以下几点，才能从容应对GandCrab等黑产团伙不断翻新的攻击手法和日益猖獗的攻击势头：

首先，要完成思维从被动防御到主动规划的转变

不是敌人兵临城下才开始收集兵器迎战，而应该用腾讯电脑管家、御点终端安全管理系统等安全软件提前修筑好围墙、设下哨兵，时刻掌控敌人的态势。

第二步，养成三不三要的习惯

即不明邮件不点开，不明附件不下载，不明网址不点击，重要资料要备份，发件人要确认可信，保持系统补丁/安全软件病毒库实时更新。

写在最后：

安全圈这个尘土飞扬、风云变幻的江湖，总有贪婪之人，春风得意扬鞭来，仰天长啸打马去，带走不义之财，留下一地鸡毛。

但我们始终坚信，还有更多的人，出于良知、责任和理想，始终坚守在这个江湖里，发掘漏洞，共享情报，破解攻击，一直守护着互联网的安全。

本文经授权转载自腾讯电脑管家

2019 看雪安全开发者峰会门票正在热售中！

长按识别上方二维码，即可享受  2.5 折 优惠！

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

↙ 点击下方“阅读原文”，查看更多干货！