CRA:继 WannaCry 后，加密货币勒索程序 GandCrab 再度侵犯中国

原文标题：《放过叙利亚，不可破解的「侠盗病」来祸害中国了》作者：秦晓峰

「侠盗病」来到中国，腾讯、360都拿它没辙。

2017年，WannaCry比特币勒索病攻击了包括中国在内的150多个国家，造成损失超80亿美元。此后各类勒索病虽层出不穷，但影响范围始终有限。

近日出现的一款名为GandCrabV5.2加密货币勒索病，似乎大有再现WannaCry「昔日荣光」的迹象，目前已在中国攻击了数千台政府以及企业的电脑。

所谓勒索病，即设法让你的电脑中，锁死内部文件，要求用户通过Dash支付赎金才会解锁。

包括慢雾、DVP在内的众多安全团队都向笔者表示，GandCrabV5.2目前不可破解，只能做好防御。

GandCrab团队不仅技术高超，而且「盗亦有道」：既信守承诺给赎金就「解」，还曾「人道地」将叙利亚等战乱地区排除在感染地区之外，因而曾被人称为「侠盗」病。不过，其却将中国、韩国视为其重要的攻击目标。GandCrab幕后团队也通过出售病获得了285万美元收益。

近年来针对加密货币的攻击日益增多，区块链安全事件频发。除了勒索病，恶意挖矿也一直不甘示弱。如果说，2017年攻击是以「勒索病」为主，2018年以「恶意挖矿」为主。现在，勒索病会否再次卷土重来？

Gary Gensler：对加密货币行业的行动是为保护投资大众:金色财经报道，美国证券交易委员会主席Gary Gensler周三被问及他对加密货币行业要求他回避某些加密货币相关决策的回应时表示，他 \"非常清楚 \"自己的 \"道德责任\"。

我和我的委员们一起宣誓，执行国会通过的法律，以及法院如何解释它。这实际上归结为保护投资大众，并研究每种代币和平台本身的事实和情况。Gensler补充说，他 \"非常清楚自己的道德责任\"。[2023/7/13 10:51:18]

上千台政府、机构电脑感染

新型的比特币勒索病再次肆虐。

根据国家网络与信息安全信息通报中心监测，GandCrabV5.2自2019年3月11日开始在中国肆虐，攻击了上千台政府、企业以及相关科研机构的电脑。

截止发稿前，湖北省宜昌市夷陵区政府、中国科学院金属研究所、云南师范大学以及大连市局等政府、企业、高校均在其官网发布了遭受病攻击的公告。

夷陵区政府官网截图

根据网络安全分析师DavidMontenegro所言，GandCrabV5.2勒索病目前已经感染了数千台中国电脑，接下来还将通过等远程攻击的方式影响中国更多的电脑。

香港证监会金融科技组前主管：香港监管机构在2017年就有意监管虚拟资产:4月11日，在香港 Web3.0 协会“政策和产业实践”高峰论坛中，香港证监会金融科技组前主管赵嘉丽表示，香港监管机构早在 2017 年 ICO 浪潮中就开始有意识要对虚拟资产进行监管来发展金融科技，2018 年当英美还在思考的时候，香港就开始构建虚拟资产监管框架，虽然开始时是收紧的政策，但目前政策在慢慢放开，进一步接纳虚拟资产。

电气电子工程师学会标准协会主席袁昱表示，Web3.0 最有意义的一点是去中心化的生产关系，AIGC 也会解放大家的生产力，这可能会成为主流。[2023/4/11 13:57:08]

手段：垃圾邮件攻击

GandCrabV5.2又是如何让受害者电脑「中」的呢？据了解，该勒索病目前主要通过邮件形式攻击。

攻击者会向受害人邮箱发送一封邮件，主题为「你必须在3月11日下午3点向警察局报到！」，发件人名为「Min，GapRyong」，邮件附件名为「03-11-19.rar」。

图片来自腾讯安全

一旦受害者下载并打开该附件，GandCrabV5.2在运行后将对用户主机硬盘数据全盘加密，并让受害者访问特定网址下载Tor浏览器，随后通过Tor浏览器登录攻击者的加密货币支付窗口,要求受害者缴纳赎金。

NEAR基金会发布透明度报告：过去的一周流通代币的数量从8.27亿增加到8.3亿:金色财经报道，NEAR基金会发布透明度报告。报告称，流通供应中的代币数量一直在以比总流通供应更快的速度稳步增长。在过去的一周里，又有 300 万美元的 NEAR 从锁定合约转移到流通中，流通代币的数量从 8.27 亿增加到 8.3 亿。这通常是由于 NEAR 基金会金库和合同归属计划的进一步解锁。每天的交易数量是区块链记录了多少次交易的记录。最早的数据来自11月的第二周。数据显示，每日交易量一直呈上升趋势，每天的交易量略低于100万。这与之前的平均每天40万笔交易相比，有很大的增长。[2022/11/27 20:56:59]

DVP区块链安全团队认为，除了垃圾邮件投放攻击，GandCrabV5.2还有可能采用「网页挂马攻击」。即除了在一些非法网站上投放木马病，攻击者还可能攻击一些防护能力比较弱的正规网站，在取得网站控制权后攻击登陆该网站的用户。

另外，该病也有可能通过漏洞传播，利用CVE-2019-7238(NexusRepositoryManager3远程代码执行漏洞)以及weblogic漏洞进行传播。

「攻击者会对受害者电脑里面的文件进行了不可逆加密，要想解开，只能依靠攻击者给你特定的解密密钥。」慢雾安全团队解释说，受害者只有付款才能获得特定密钥。

KuCoin CEO：没有FTX和FTT的风险敞口:11月11日消息，对于社交媒体上“KuCoin有大量FTX风险敞口”的传言，KuCoin首席执行官Johnny Lyu在推特上回复称，“这是假的，KuCoin没有FTX和FTT的风险敞口。”[2022/11/11 12:51:12]

不过，有时候也会发生受害者交了钱但攻击者不给密钥解锁的情况，慢雾安全团队认为攻击者所属团队的声誉高低可以作为一个判断依据。

「勒索蠕虫知名度越高，越有可能给你发密钥，GandCrab在暗网上的知名度还是很高的，口碑也不错。」慢雾安全团队说，「如果不发私钥就会降低声誉，其他被攻击者就不会再打钱了。」

「关键是看，攻击者是否给受害者提供了一个联系渠道。」DVP区块链安全团队告诉笔者，由于加密货币具有匿名性，攻击者很难判定受害者是否进行了打币操作，如果没有沟通渠道，说明攻击者根本无意解锁受害电脑。

不可破解：地表最强的勒索病？

「目前根本没有办法直接破解，一旦被攻击成功，如果电脑里有重要的资料，只能乖乖交钱领取私钥破解。」包括慢雾、DVP在内的众多安全团队都向笔者表示该病不可破解。

百度贴吧截图

CryptoQuant CEO：此前1P5ZE开头巨鲸地址或为Gemini的冷钱包或托管钱包:7月21日消息，CryptoQuant CEO Ki Young Ju发推称，“1P5ZE”开头巨鲸地址转移的比特币经过“1FzW”开头地址后最终转入“1LQoW”开头地址。

根据记录，“1FzW”开头地址与“1NYA”开头地址和“bc1quq”开头地址等热钱包有更密切的联系，这些不是Coinbase或OKX，而是Gemini的热钱包。因此“1P5ZE”开头巨鲸地址转移比特币的行为有可能是Gemini的内部转账，而“1P5ZE”开头的巨鲸地址可能是Gemini的冷钱包或托管钱包。显而易见的是，这并不是某位用户向交易所热钱包存入BTC并计划出售。

此前消息，“1P5ZE”开头巨鲸地址近3日累计转出132882枚BTC，余额清零。[2022/7/21 2:28:27]

然而，笔者发现在一些论坛上，出现了宣称可以破解GandCrabV5.2的公司，条件是先付款，再破解。

「基本上都是子，都是一些皮包公司，根本没有能力。」一家匿名的区块链安全公司表示，「腾讯、360等公司都破解不了，他们能破解？」

「一些团队或个人宣称可以破解GandCrabV5.2，其实是「代理」破解。」慢雾安全团队解释说，「他们收你的钱，帮你向勒索者支付加密货币，从而拿到解密密钥。」

攻击者来势汹涌，一时之间破解不了木马病，只能做好防御。宜昌市夷陵区政府也给出了一些应对之策，包括：

一是不要打开来历不明的邮件附件；二是及时安装主流杀软件，升级病库，对相关系统进行全面扫描查杀；三是在Windows中禁用U盘的自动运行功能；四是及时升级操作系统安全补丁，升级Web、数据库等服务程序，防止病利用漏洞传播；五是对已感染主机或服务器采取断网措施，防止病扩散蔓延。不过，慢雾安全团队指出，非Windows操作系统暂时并不会被感染。「GandCrabV5.2蠕虫目前只在Windows上运行，其他系统还不行。」

「强悍」的病，也让团队在安全圈里「小有名气」。

GandCrab勒索病诞生于2018年1月，并在随后几个月里，成为一颗「新星」。

该团队的标签之一是「技术实力」强。

今年2月19日，Bitdefender安全实验室专家曾根据GandCrab自己给出的密钥，研发出GandCrabV5.1之前所有版本病的「解药」。

然而，道高一尺，魔高一丈。根据zdnet报道，今年2月18日，就在Bitdefender发布最新版本破解器的前一天，GrandCrab发布了正肆虐版本，该版本至今无法破解。

目前在暗网中，GrandCrab幕后团队采用「勒索即服务」的方式向黑客大肆售卖V5.2版本病。即由GrandCrab团队提供病，黑客在全球选择目标进行攻击勒索，攻击成功后GrandCrab团队再从中抽取30%-40%的利润。

「垃圾邮件制造者们，你们现在可以与网络专家进行合作，不要错失获取美好生活的门票，我们在等你。」这是GrandCrab团队在暗网中打出的「招商广告」。

值得一提的是，GandCrab是第一个勒索Dash币的勒索病，后来才加了比特币，要价499美元。根据GandCrab团队2018年12月公布的数据，其总计收入比特币以及Dash币合计285万美元。

「盗亦有道」的侠盗团队？

这款病的团队，另外标签是「侠盗」。该标签来源于2018年发生的「叙利亚密钥」事件。

2018年10月16日，一位名叫Jameel的叙利亚父亲在Twitter上发贴求助。Jameel称自己的电脑感染了GandCrabV5.0.3并遭到加密，由于无力支付高达600美元的「赎金」，他再也无法看到在战争中丧生的小儿子的照片。

Twitter截图

GandCrab勒索病制作者看到后，随即发布了一条道歉声明，称其无意感染叙利亚用户，并放出了部分叙利亚感染者的解密密钥。

GandCrab也随之进行了V5.0.5更新，并将叙利亚以及其他战乱地区加进感染区域的「白名单」。此外，如果GandCrab监测到电脑系统使用的是俄语系语言，也会停止入侵。安全专家据此猜测病作者疑为俄罗斯人。

勒索者道歉图

一时之间，不少人对GandCrab生出好感，称呼其为「侠盗」。

「GandCrab颇有些武侠小说中侠盗的意味，盗亦有道。」一位匿名的安全人员告诉笔者，「不过即使这样，也不能说GandCrab的行为就是正当的，毕竟它对其他国家的人就没有心慈手软。」

根据腾讯安全团队统计，GandCrab受害者大部分集中在巴西、美国、印度、印度尼西亚和巴基斯坦等国家。并且，GrandCrabV5.2版本所使用的语言主要是中文、英文以及韩文，说明中国目前已经成为其重要的攻击目标。

GrandCrabV5.2版本

「一个黑客如果对一个区域的人没有感情，那么作恶时就不会考虑这个区域的人的感受。」慢雾安全团队解释说，「在黑客看来，中国网络空间积金至斗，所以对中国下手也就不足为奇。」

来源链接：mp.weixin.qq.com

本文来源于非小号媒体平台：

Odaily星球日报

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3627153.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

DragonEx交易所共计损失602万美元数字资产，已有近百万流入交易所

下一篇：

链闻今日必读丨Cosmos的「一键发链」和「万链互联」能够彻底激活区块链价值吗？

标签：CRACRABANDDCRcrazybunny币是什么时候出Crab ContractGRANDDCR价格

BNB热门资讯