赚了20亿美元的GandCrab勒索病毒运营团队于2019年6月1号宣布停止更新，之后不断有新型的勒索病毒出现，此前Sodinokibi勒索病毒接管了GandCrab的传播渠道，然而赚了那么多的GandCrab勒索病毒运营团伙真的会退出吗？后面会不会换一个勒索病毒家族，继续运营呢？

最近一两年勒索病毒主要是针对企业进行攻击，被加密勒索之后，很多企业、政府、组织为了快速恢复业务都会选择交付赎金或找中介进行解密，不少勒索病毒运营团队这一两年都在背后“闷声发大财”，做黑产的目的是为了快速获利，运营团队会追求利益的最大化，勒索病毒的巨大利益已经让不少其它黑产团伙转行加入进来，这么巨大的利益，GandCrab的运营团伙真的会放弃这么好赚钱的机会？

近日一款新型的勒索病毒被安全研究人员曝光，如下所示：

评论中提到这款勒索病毒与此前的GandCrab非常相似，同时通过分析发现它与后面出现的Sodinokibi勒索病毒有很多相似之处，如下所示：

国外曾有两篇介绍GandCrab和Sodinokibi两款勒索病毒背后运营团伙和故事的文章，有兴趣的可以参考学习一下，链接：

114K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6C8M7X3g2T1M7$3!0F1M7$3g2U0N6i4u0A6N6s2W2Q4x3X3g2U0L8$3#2Q4x3V1j5J5x3o6p5&6i4K6u0r3x3o6N6Q4x3V1k6%4K9r3!0K6i4K6u0V1j5X3g2Z5K9h3&6V1i4K6u0V1N6r3S2W2i4K6u0V1k6$3q4F1k6r3y4J5j5h3u0Q4x3X3c8J5j5h3&6K6L8$3#2%4j5i4u0W2i4K6u0r3

f99K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6C8M7X3g2T1M7$3!0F1M7$3g2U0N6i4u0A6N6s2W2Q4x3X3g2U0L8$3#2Q4x3V1j5J5x3o6p5&6i4K6u0r3x3o6N6Q4x3V1k6A6M7#2)9J5k6s2u0W2N6X3W2D9i4K6u0V1N6r3S2W2i4K6u0V1L8X3g2%4i4K6u0V1k6$3q4F1k6r3y4J5j5h3u0Q4x3X3c8J5j5h3&6K6L8$3#2%4j5i4u0W2i4K6u0r3

此新型勒索病毒加密后的文件后缀名为NEMTY，如下所示：

生成的勒索提示信息文本文件名为[加密后缀]-DECRYPT.txt，内容如下所示：

查询此勒索病毒的HASH值，发现它在2019年8月21号，22号，23号都有被人上传到app.any.run网站，如下所示：

下载到相应的样本，发现它的时间戳为2019年8月19号，如下所示：

此勒索病毒也采用混淆外壳封装，通过动态调试，可达到OEP，即可获取勒索病毒核心Payload代码，如下所示：

勒索病毒核心代码，如下所示：

此勒索病毒同样会避开一些地区，避开的地区以下几个地区为主：

Russia        俄罗斯

Belarus       白俄罗斯

Kazakhstan    哈萨克斯坦

Tajikistan    塔吉克斯坦共和国

Ukraine       乌克兰

遍历磁盘目录，如果为以下目录或目录包含以下字符串，则不进行加密此目录下的文件，相应的字符串，如下所示：

$RECYCLE.BIN、rsa、NTDETECT.COM、ntldr、MSDOS.SYS、IO.SYS、boot.ini

AUTOEXEC.BAT、ntuser.dat、desktop.ini、CONFIG.SYS、RECYCLER

BOOTSECT.BAK、bootmgr、programdata、appdata、windows、Microsoft

Common Files

遍历磁盘目录文件后缀名为以下后缀名，则不进行加密，相应的后缀名列表，如下所示：

nemty、log、LOG、CAB、cab、CMD、cmd、COM、com、cpl、CPL、exe

EXE、ini、INI、dll、DLL、lnk、LNK、url、URL、ttf、TTF、DECRYPT.txt

生成的JSON配置文件内容，如下所示：

{"General": {"IP":"[IP]","Country":"[Country]","ComputerName":"[ComputerName]","Username":"[Username]","OS":"Windows 7","isRU":false,"version":"1.0","CompID":"{[CompID]}","FileID":"_NEMTY_[FileID]_","UserID":"[UserID]","key":"PSiOB2jtlqA3RCGLwo2UAQsgt5v98yxj","pr_key":"[pr_key]

并在C:\Users\Panda目录生成勒索病毒配置文件_NEMTY_7tVsB73_.nemty，查看此配置为文件，内容如下所示：

通过TOR访问此勒索病毒解密网站，如下所示：

上传生成的配置文件之后，如下所示：

上传一个加密后的PNG文件，即可得到黑客的BTC钱包地址，如下所示：

黑客BTC钱包地址：

3Jn174dUWRTVBwRCnsAjfpbRLo55QXRXwn

经过分析发现，此新型勒索病毒似乎融合了之前GandCrab和Sodinokibi两款勒索病毒的一些特点，但此勒索病毒代码结构与此前两款勒索病毒都不相同，该勒索病毒后期会不会接管GandCrab和Sodinokibi的传播渠道，它与GandCrab和Sodinokibi两款勒索病毒又有什么关系，以及后期会不会流行爆发，需要持续跟踪观察，请各企业做好相应的防范措施，勒索病毒太暴利了，后面一定会有越来越多的新型勒索病毒家族和黑产运营团队加入进来，勒索病毒的重点在于防御

往期精彩内容回顾：

勒索病毒防范措施与应急响应指南

企业中了勒索病毒该怎么办？可以解密吗？

全球大多数的安全问题都是通过恶意软件进行攻击的，如果你对这些恶意软件感兴趣，想研究学习各类恶意样本的分析技术，想与一些专业的恶意样本分析专家交流，欢迎加入知识星球：安全分析与研究，分享各种安全技术：应急响应、恶意样本分析、渗透测试、漏洞研究、移动安全等

加入知识星球的朋友，加我微信:pandazhengzheng，会拉你加入微信群：安全分析与研究，随时提供专业的安全咨询和指导，遇到问题，可以与群里的安全研究员一起交流，讨论安全技术

安全的路很长，贵在坚持......

[培训]科锐逆向工程师培训第53期2025年7月8日开班！