2018年1月28日，我们的观察分析师在Bitdefender威胁地图上看到了一个小小的点。这是我们每天在Bitdefender看到的数以百万计的点点，但这一点突显了一个新的勒索软件家族的诞生，这些勒索软件将给世界各地的无辜受害者带来巨大的痛苦。同样的情绪在下个月至少会出现50,000次，明年会出现几百万次。它后来被称为“GandCrab”。

这个勒索软件系列很可能在前苏联地区运营，到2018年8月占据了勒索软件市场份额的50％以上.GandCrab勒索软件的获取在地下市场被出售给代理机构，这些附属机构负责感染受害者并从中勒索钱财。他们。作为交换， 代理公司将40％的利润交给了原来的GandCrab开发商。这促进了多元化的分销系统。一些分支机构会将其Payload发送出去，而其他代理机构则会通过漏洞利用工具包或远程访问企业计算机来感染受害者。

在Bitdefender，我们仔细地计算了这些点点，并且不遗余力地为那些与GandCrab团队交叉路径的不幸者提供了解密工具。我们与包括欧洲刑警组织，罗马尼亚警察局，DIICOT，FBI，NCA和大都会警察局以及法国保加利亚警察局在内的合作伙伴执法机构合作，提供了几个解密工具，以帮助GandCrab受害者免费解密他们的数据。

Bitdefender发布的解密工具共有超过30,000次成功解密，并为受害者节省了大约5000万美元的未付赎金。最重要的是，它帮助我们通过切断其货币化机制并在新受害者之间建立积极的心态来削弱勒索软件运营商，他们宁愿等待新的解密者而不是屈服于***的赎金要求。

在一年多的运营中，GandCrab在全球范围内声称有150多万受害者，无论是家庭用户还是公司。 GandCrab运营商和分支机构最近在私人地下论坛上大胆宣称，恶意软件背后的团队已经从受害者那里勒索了20多亿美元。

虽然这个数字显然被夸大了，但GandCrab的运作非常厉害，足以获得足够的收入以让其主人退休。根据同一声称，GandCrab团队已阻止附属机构访问新版本的恶意软件，并敦促他们为即将停机做好准备。关闭之后将删除所有密钥，使受害者无法检索赎回数据，即使他们确实支付了赎金。

GandCrab关闭公告 – 照片由bleepingcomputer.com提供
幸运的是，我们发布了该工具的更新，以中和最新版本的GandCrab，包括5.2版本。该工具立即可用，可以在下面免费下载或从No More Ransom项目下载。

关于GandCrab的事实和数据

自2018年1月成立以来，GandCrab迅速成为***用于基于联盟的勒索软件的首选工具。可能以前苏联地区为基地，其运营商和附属机构以全世界的受害者为目标，但俄语国家和其他几个市场经济使受害者无法支付的其他国家（如叙利亚）除外。在不到一年的时间里，GandCrab成为世界上最广泛传播的勒索软件，占所有勒索软件感染的一半。
GandCrab相对于其他勒索软件系列的一个主要优势是其勒索软件即服务许可模式，分销商购买并传播恶意软件并将解密费用与原始开发者分开。附属公司保留60％，其余则发给开发商。这种职责分离允许开发人员改进代码并添加新功能（例如防病毒规避技术），并让分销商专注于受害者的交付和利用。

GandCrab业务还带来了新功能，例如为受害者提供聊天服务，以便联系关联公司协商折扣，延长付款期限或寻求帮助将法定货币兑换成数字货币。

除了与受害者建立通信桥接之外，聊天还有一个“秘密”区域，为受害者代表受害者提供折扣，以掩盖支付赎金作为客户的“数据恢复费”。

并非所有受害者都得到平等对待：GandCrab优先考虑赎回的信息，并根据受害者的类型设定个人定价。平均计算机解密费用从600美元到2,000美元不等，服务器解密费用为10,000美元甚至更多。在帮助受害者解密的同时，我们看到赎金票据要求高达70万美元，这对于一次错误点击来说是相当大的代价。

与合作伙伴执法机构合作发布的三个解密器 – 尤其是版本5.1的GandCrab解密器 – 迫使GandCrab附属公司缩减业务以避免不必要的成本。例如，在2019年2月，在版本5.1的解密器发布之后，联盟会员持续推送可解密版本的恶意软件超过一周，允许新的受害者免费解密他们的数据。截至2019年3月，GandCrab的市场份额缩减至30％，几乎三分之一的感染与该集团挂钩。

如何保持安全

勒索软件解密是一件微妙的事情，因为恶意软件编写者使用相同的技术来帮助人们保护他们的银行交易，通信和在线交互。加密很容易，但是没有密钥的解密几乎是不可能的。每个月，Bitdefender都会看到12种新的勒索软件，这意味着网络犯罪分子每年会推出超过140个新家庭。其中，通过利用***者代码中的漏洞或通过与执法机构的合作，可以解密近10％的漏洞。

在处理勒索软件时，预防是关键。一旦您的系统加密，尽管业界努力将您的数据恢复，但解密的可能性很小。以下是一些提示，可帮助您防止勒索软件***并最大限度地减少流向网络犯罪运营商的资金数量：

1.运行Bitdefender强大的安全解决方案。如果您安装了安全解决方案，请确保使用各种技术来抵御勒索软件***。基于行为的检测，基于机器学习和勒索软件修复的启发式检测是检测和阻止勒索软件***的关键技术。如果您没有安装，请下载Bitdefender。

2. 在离线媒体上进行频繁备份。如果发生灾难，备份是防止数据丢失的极为有效的解决方案。获取便携式硬盘驱动器并在创建时虔诚地备份重要数据。请勿将驱动器连接的时间超过备份所需的时间，因为大多数勒索软件会对连接的可移动驱动器和网络共享上的信息进行加密。
3. 如果一切都失败了，不要支付赎金。赎金支付允许***者茁壮成长，并让他们开发更具***性的恶意软件。如果您的系统受到感染，请备份受影响的数据并立即通知警方。虽然他们可能无法立即帮助您解密，但他们会记录事件并开始与合作伙伴私人网络安全公司合作解决方案。