GandGrab 是一种勒索软件(Ransomware),曾在 2018–2019 年间非常活跃,是当年最具代表性的勒索家族之一。
一句话先讲清楚
GandGrab
是一种通过加密用户文件并索要赎金的恶意程序,主要攻击 Windows 系统,以传播快、变种多、社会工程手段成熟著称。
GandGrab(GandCrab)到底干了什么?
1️⃣ 它做的事很简单、也很残忍
扫描电脑中的文档、图片、数据库、源码等重要文件
使用 AES + RSA 强加密
把文件后缀改成如:
.GDCB、.KRAB、.CRAB等弹出勒索提示,要求支付赎金(通常是比特币)
不给钱,文件无法恢复(理论上)
它是怎么进你电脑的?
GandGrab 的成功,靠的不是“技术多高级”,而是传播方式极其现实:
常见传播途径
钓鱼邮件附件(伪装成发票、通知、合同)
破解软件 / 激活工具
恶意广告(Malvertising)
利用系统漏洞(如老版本 Windows)
一句话总结:
不是系统弱,是人更容易点错。
为什么 GandGrab 当年这么“有名”?
1️⃣ 变种极多、更新极快
短时间内出现 上百个变种
每次安全厂商刚分析完,就换壳
2️⃣ 勒索“商业化”
提供多语言勒索页面
支持在线“客服”
自动计算赎金
这已经不是“黑客随便搞搞”,
而是地下产业化运作。
GandGrab 现在还活跃吗?
不活跃了。
2019 年中,GandGrab 团伙公开宣布“退休”,并释放了 主密钥。
随后:
多家安全厂商联合推出 免费解密工具
大量历史受害者文件得以恢复
这也是少数“能被解密”的勒索软件案例之一。
那为什么现在还会有人问 GandGrab?
原因通常有三种:
1️⃣ 历史系统被翻出来
老电脑
老服务器
老硬盘数据
2️⃣ 应急演练 / 安全培训
常被当作“经典案例”
3️⃣ 文档、取证、审计
文件名里还留着
.CRAB后缀
现实中的重要提醒
❗ 不要记名字,记规律
你今天遇到的,可能不是 GandGrab,
而是 LockBit / WannaCry / Phobos / BlackCat。
但攻击逻辑几乎一样:
利用漏洞或诱导 → 执行 → 加密 → 要钱
防范勒索软件,最关键的 5 件事
离线备份 / 不可变备份
系统与补丁及时更新
邮箱附件默认不信任
不要用来历不明的破解器
最小权限运行系统
勒索软件真正怕的,从来不是杀毒软件,
而是你有一份“它碰不到的备份”。
一句话总结
GandGrab 是一段历史,
但勒索软件不是。