突发：GandCrab源码和Sodinokibi解密器被出售

10月9号总部设在荷兰海牙的欧洲刑警组织与国际刑警组织共同发布报告《2019互联网有组织犯罪威胁评估》，报告指出数据已成为网络犯罪分子的主要攻击目标，勒索软件仍是网络安全最大威胁，全球各界需要加强合作，联合打击网络犯罪。

此前的文章中已经提到，国外对过去一年地下黑客论坛390万个贴子进行统计分析，勒索软件是地下黑客论坛讨论最多的恶意软件，各种各样的勒索软件在地下黑客论坛以RAAS模式进行销售，每个流行的勒索软件下面还会有很多不同的分销商，他们通过各种不同的渠道进行分销，勒索软件已经成为了地址黑客论坛最流行，讨论最热门的恶意软件

近日某人在群里发布了一则消息，出售GandCrab勒索病毒的源码，并放出了购买链接，如下所示：

售价为：2000美元，对于GandCrab可能全球大多数企业用户和安全研究人员都不会对这款勒索病毒陌生，这款勒索病毒曾经是全球最流行的，估计也是赚钱最多的勒索病毒，在今年6月1号GandCrab运营团队宣布停止更新之后，确实再没有发现GandCrab勒索病毒新版本出现，然而勒索病毒并未消亡，迅速取代它的是一款新型的勒索病毒Sodinokibi勒索病毒，同时也叫REvil勒索病毒，这款勒索病毒在短短几个月时间，已经在全球范围内非常流行，不断有企业被这款勒索病毒加密勒索，此勒索病毒的解密网站类似如下所示：

关于这两款勒索病毒，此前国外已经有多篇报道，指出这两款勒索病毒存在密切的联系，现在有人在同一时间在网上发布出售Sodinokibi勒索病毒的解密工具，并放出了购买链接，如下所示：

国外安全公司McAfee的高级威胁研究团队近期连续发布了三篇关于GandCrab与Sodinokibi勒索病毒的关联分析报道，相关链接，如下：

• https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/mcafee-atr-analyzes-sodinokibi-aka-revil-ransomware-as-a-service-what-the-code-tells-us/
• https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/mcafee-atr-analyzes-sodinokibi-aka-revil-ransomware-as-a-service-the-all-stars/
• https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/mcafee-atr-analyzes-sodinokibi-aka-revil-ransomware-as-a-service-follow-the-money/

有兴趣的朋友可以去阅读，研究一下，报告里面详细讲解了GandCrab、Sodinokibi勒索病毒的RAAS销售模式，以及Sodinokibi勒索病毒的相关技术细节，GandCrab勒索病毒RAAS模式，如下所示：

通过对这两款勒索病毒代码对比，发现Sodinokibi与GandCrabV5.0.3版本的勒索病毒的代码相似度高达40%，如下所示：

此前在我的相关分析报告中也提到，这两款勒索病毒在URL生成部分几乎完全相似，如下所示：

所以Sodinokibi(REvil)勒索病毒与GandCrab勒索病毒背后肯定存在某种关系......

此前我曾在某个渠道下载过一个Sodinokibi(REvil)勒索病毒的解密工具，但是我并没有拿到解密密钥文本，这次竟然有人把这款解密工具和解密密钥文件同时放到网上出售，同一时间GandCrab的源码竟然也被放到网上一起出售，不知道这些文件是真的还是假的，反正我穷，也买不起，无法验证，哪个大佬有钱，买了验证一下，必竟Sodinokibi勒索病毒的受害者还是很多的，如果有受害者想解密，可以花几百美元下载的试试

再次申明，我不知道这个解密工具能不能解密你手上被Sodinokibi勒索病毒加密的文件，因为我没下载过，也不是我放上面的，有钱无所谓的大佬可以去下载试下，解密工具出售的网站链接可以找我私聊，我会发链接给你，但GandCrab源码的链接不提供，同时我不保证链接上的文件的安全性和可靠性，也不保证链接一直有效，万一你购买了不能解密，不要来找我，我跟这个出售解密工具和GandCrab源码的没有任何关系，仅仅是在某群里发现有人提供相关源码和解密工具的购买链接信息，其它一概不知!

声明：本文来自安全分析与研究，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。