他們靠勒索致富，一年掙20億美金，還說「壞人沒壞報」……

大家好，我是謝么。今天跟大家聊一個關于勒索的事。


不曉得你有木有被敲詐勒索過，反正我不僅被勒索過，還勒索過別人。

先說被勒索的吧。

那是在小學四年級上學的路上，馬路對面竄過來一個十四五歲的男孩，抓住我胳膊直接就問，有錢嗎？拿出來！我一愣，說有，然後掏出兜裡僅有的三塊錢，其中一元是往返公交車費，另外兩元是早餐錢，米粉一塊五，加個蛋五毛。

那天為了不遲到，我空著肚子連走帶跑趕到教室，一路上滿腦子全是他拿著我的錢大搖大擺走掉的背影。那段時間我正在攢錢，每天靠放學走路回家或不吃早飯來換取一臺奧迪雙鑽四驅車。

我咬著牙心想，憑什麼我就得這麼苦了吧唧攢錢，而他卻可以用暴力威脅直接搶走我的？憑什麼？



四驅車是90後男孩們的童年

之所以我當時不反抗，是因為市裡治安向來很差，高中生搶初中生，初中生搶小學生，就像是大魚吃小魚，小魚吃蝦米一樣平常，遇上只能自認倒黴，趕上脾氣好點的還能給你留五毛錢路費，碰到脾氣差的，稍微抵抗就是一耳光。當時也沒報警的意識，畢竟對方也是未成年人。

後來我想出一個比較慫的辦法，把錢裝進襪子，踩在腳底。遇到搶錢就裝可憐，說剛才已經被另一個搶走了（嚶嚶嚶……），不信你搜！（嚶嚶嚶……）

一般這種情況對方都懶得搜我，搜也搜不到，方法挺管用，唯一的缺點是錢拿出來時會有豆豉味兒。



那是《古惑仔》系列風行的年代

等我上初中，終於也有了搶別人的「資本」。

我的「第一次」，也是最後一次，發生在一個周末。遊戲廳裡，我跟表哥在打《恐龍快打》，瞅見一個小學生掏出一張五十，買完幣把四張十塊零錢捲起來，藏在褲腿裡，我和表哥一對眼，決議搶了他。

半小時後見小孩走出遊戲廳，我們就五米開外跟著，那是我第一次搶劫別人，心裡慌得一匹，等他拐進一條巷子，我倆衝過去抓住他胳膊就直接走「流程」。

小孩先是一驚，然後說沒錢，不信你們搜！看來也是經常被搶的樣子。


我和表哥相視一笑，彎下腰準備卷下小孩褲腿。就在此時，兩個大人恰好從巷子路過，我們怕小孩大喊求救，只好拔腿跑路，錢也沒搶到。

這麼多年過去了，我一直記得這個小事兒。現在想來，之所以當年我的家鄉治安那麼亂，很大程度是因為犯罪會「傳染」。施暴者一次次用拳頭告訴受害者和旁觀者：誰的拳頭硬誰就有理。

我很慶幸那次搶劫失敗，因為犯罪就像是泥潭，一次嘗到暴力勒索的甜頭，就很難停下來。而被我搶的那個孩子又會不會心想「憑什麼我辛苦攢錢，他們能直接搶？」，然後成為下一個搶劫者，如此循環不斷傳染？就像老兵欺負新兵，新兵成了老兵再欺負新兵一樣。

到如今，治安水平明顯提高，街上再難遇到直接攔路勒索的。

但是，這並不意味著暴力搶奪的欲望就此從我們的生活中消失，它可能像沒有爆發的病毒一樣深埋在一些人的心裡，也可能換了一種方式呈現。比如，網絡勒索。

今天要給大家講的勒索故事和上面說的性質差不多，只是程度要兇猛一百倍、一千倍、一萬倍，一億倍……至少，在涉案金額上是如此。

Let's Rock !



2018年1月前後，安全研究員王正在論壇發現一個不太起眼的勒索軟體，名叫GandCrab，後面那個單詞 Crab 是螃蟹的意思，所以翻譯過來大概叫 「甘地蟹」。

王正是病毒分析界的老溼敷，看到新出現的勒索病毒立刻心痒痒，麒麟開始發作，於是他抓起鍵盤撓有興致地研究起來。

初代「甘地蟹」勒索病毒版本對王正來說，是個弱雞。三下五除二，他就解密出勒索軟體的核心代碼。

此時，他還不知道這款名字聽起來萌萌噠的勒索軟體將在其後一年之內成為全世界興風作浪的「蟹妖」。



這是王正分析Gandcrab的截圖，看不懂沒關係，感受一下就好

他發現一件挺有意思的事，大多數勒索軟體都要比特幣，而這款軟體向用戶勒索的是「達世幣」（DASH）。

這是一種在比特幣基礎上做了技術改良的幣種，對匿名性做了加強。達世幣被俗稱為「暗黑幣」，因為非常適合做黑市交易。



這是達世幣的logo

就在王正分析完病毒代碼的第三天，1月28日，他發現甘地蟹團隊在地下論壇發出帖子，售賣這款勒索軟體。

王正隱約感還會在工作中遇到它，但他此時並沒料到這款軟體居然能成為2018年的「勒索之王」。

再次注意到甘地蟹的動靜時，王正剛剛入職安全公司「深信服」不久，在千裡目實驗室負責勒索軟體分析。

3月份，甘地蟹開始橫行，當時僅歐洲就感染超過50000名用戶。

受害者中招後，除了大量文件被加密無法打開，還會看到一封勒索信，信裡一五一十地告訴你出了啥情況，讓你別驚慌，走一遍付款流程就能恢復正常。

贖金大概價值：300~500美元，折合人民幣兩三千塊。



Gandcrab 的勒索信，這是2.0版的

如果你不會買比特幣、達世幣，不會上暗網，他們還會手把手教你購買方法。



勒索界面上真的有個《海綿寶寶》裡的「蟹老闆」

當然，他們會給你留一個倒計時，比如48小時，超過48小時沒支付，贖金就會翻一翻，300美元變600美元，500美元變1000美元，程序自動翻番，沒得商量。



不過，甘地蟹在1.0版本的時候犯了一個技術失誤，導致歐洲警方聯合羅馬尼亞的安全公司「比特梵德」（Bitdefender）成功攻入甘地蟹的控制伺服器，拿到解密密鑰。

並且做成一款免費的勒索解密工具，發布在知名反勒索網站「絕不交贖金」（No more ransom）上。



全球知名的反勒索網站 No More Ransom，如果你中招不妨去上面找找辦法

這一下就給大螃蟹惹毛了，他們一個月內就開發出 2.0 版的勒索軟體，不僅修補了原來的漏洞，還優化了很多地方，比如加了二維碼，讓受害者付款更順暢。

甘地蟹2.0勒索界面

甚至，他們還把一臺伺服器的名字改成「politiaromana.bit」來挑釁羅馬尼亞警方。

既然警方都能攻入勒索團夥的伺服器，為啥抓不住他們？

王正告訴我，「拿到伺服器並不一定能定位到人」，抓黑客的肉身這種事，情況通常比較複雜。

一來，他們一般會用「跳板伺服器」來偽裝自己，這就好比罪犯操控一個傀儡，傀儡再操控一個傀儡，傀儡再操控一個傀儡…………由最後那個傀儡來執行任務，警方雖然也可以一層一層去追蹤溯源，但成本很高。

二來，犯罪分子肉身可能在地球的任何一個國家或地區，跳板伺服器也可能分布在世界各地，跨國調查和抓捕向來不容易。

目前看來，罪犯的肉身很可能在俄羅斯及周邊地區，因為他們發帖有時會直接用俄文。



2018年1月28日發布的俄文出售帖

甘地蟹的運營團隊把作案工具和方法公開提供給他人，向微商一樣瘋狂發展代理商、下線，然後從下遊勒索犯那裡抽成30~40%。

這種事並不少見，在業內的標準說法叫「勒索即服務（RaaS）」，把勒索做成一種服務，讓人人有索勒，人人都能打家劫舍。

通過這種方法，他們迅速拓開渠道，吸納了一大堆「馬仔」替自己打家劫舍，輸入資金，然後自己抽身到幕後，變成一個不親自上場，只在後方輸送武器彈藥和策略的團夥。

這踏馬活脫脫就是一個黑幫的架構啊！從2018年1月28日的那個出售帖開始，兩三個月時間不到，「甘地蟹勒索家族」就已經成型。

由於組織發展迅速，甘地蟹勒索軟體的傳播方式也在馬仔們的不懈努力下實現兩開花，三開花，全面開花。

起初，他們主要靠「遠程桌面爆破」（RDP爆破）來入侵。

許多 Windows 系統用戶安全意識薄弱，電腦默認開啟了遠程桌面連接功能，卻不打補丁，還稀裡糊塗用了簡單的接入密碼，於是理所應當就成了甘地蟹的頭號目標。

到後來，什麼U盤傳播、垃圾郵件傳播、網站掛木馬傳播，軟體捆綁 … … 幾乎你能想到的病毒木馬傳播方式，馬仔們都用上了，目的只有一個，把勒索軟體送進人們的電腦裡。

這場景大概就像是七八十年代走在一條治安不太好的街上，冷不丁就能遇到攔路搶劫、飛車黨、砍手黨什麼的。就算你不出門，也說不定有人穿著假警服上門訛你。



假執法郵件，讓你去局裡報到，怕不怕？點開就中招

隨著時間推移，越來越多的證據表明甘地蟹的背後是戰鬥民族。

大概從甘地蟹4.0版本開始，感染機器後會先檢測受害者的系統語言和所在地區，如果是俄語或者某些前蘇聯語言，比如烏克蘭、白俄羅斯、哈薩克族，以及各種斯坦……就不會進行勒索。

如果你以為他們這麼做的目的是不想傷害「自己人」，那你就錯了，他們真正的目的多半是為了避免引起當地警方的注意，增加自己肉身被抓的風險。

另一個證據是18年8月，有安全公司分析4.2.1版本的甘地蟹勒索軟體時，直接在裡面發現了俄文文件夾，由此基本可以斷定，除非有人故意嫁禍，否則作案團夥就在俄羅斯地區。

儘管甘地蟹在全球作惡，卻有人管他們叫「俠盜」。

這事兒起源於2018年10月份，一位敘利亞男子在網上發布了一段推文：

「我叫詹米爾，因為戰亂，我痛失了兩個兒子，現在身邊唯一的念想只有在他們生前拍的一些照片和錄像，如今卻被甘地蟹給加密了。」

「他們要600美元才能把孩子還給我，可我和妻子緊衣縮食，吃飯活命尚且困難，哪裡出得起這600美元？」



都這麼慘了還遇到網絡勒索，簡直聞者傷心見者落淚啊。 

甘地蟹運營團隊得知消息後，便在網上發布道歉，並且放出所有敘利亞感染者的解密密鑰。

不久，他們發布甘地蟹 5.0.5 更新，將敘利亞地區加入了「勒索白名單」。



當時的道歉帖

就這麼個事，新聞一出，甘地蟹竟然就被套上了「俠盜」的稱號，不少文章作者還用「盜亦有道」來形容他們。

這就好比一個人天天殺人，忽然哪天不殺了，還扶了個老奶奶過馬路，就變成「活雷鋒」，簡直神了。

也不知道那些管它叫「俠盜」的人是不是得了斯德哥爾摩症候群，他們難道不知道，此時還有成千上萬的人因為勒索而身處水深火熱？

王正告訴我，根據深信服千裡目實驗室的調查，甘地蟹從 5.0.3 版本開始就已經在中國成了頭號網絡勒索犯，活躍在福建、浙江、山西、吉林、貴州、天津等多個地區。



這是千裡目實驗室根據用戶反饋得出的受災圖

有些醫院因為甘地蟹的勒索而出現業務癱瘓，影響病患正常看病治療。我猜想，彼時醫院大廳裡焦急等待的病患和家屬，恐怕不太能接受「俠盜」的說法。

「沒有人知道他們賺了多少」，王正說，一個很遺憾且很普遍的情況是，很多大型企業遭遇勒索之後不敢聲張，畢竟家醜不可外揚，悄悄交了贖金解決，或者找安全公司尋求幫助，這直接導致了螃蟹越來越囂張。

在 5.0.3 版本的傳播態勢被撲滅後，甘地蟹推出 5.0.4 版本，一打開就彈出提示框：「我們很快就會回來！」



甚至，他們還在勒索程序裡夾帶「私貨」。王正在分析 5.0.4版的勒索軟體時，驚奇地發現裡頭居然有一張照片！



旁邊附帶了一大段髒話大罵此人，一查才發現被懟的這個人是俄羅斯一家物流公司的 CFO。

除此之外，甘地蟹運營團隊從2019年開始，還頻繁地向外界炫富。

2月9日那天，他們就拋出過一個數據，講自己僅僅上個月的收入就超過285萬美元，折合人民幣超過1926萬元。

有人猜測，之所以公開他們這麼做，一方面是炫耀，另一方面也想吸引更多「代理商」的加入。

這個邏輯和朋友圈裡曬富吸引下線的微商沒本質差別。



事情終究還是有了些轉折。

從2019年2月開始，安全公司 Bitdefender 聯合警方也不知道用了什麼法子，又搞出了一個解密工具，能解開甘地蟹 5.0 及之前所有版本。王正猜測，「應該是和警方再一次拿到了（勒索軟體控制）伺服器。」

勒索團夥又反撲，研發出新的5.1版本，可沒過多久，警方又發出了新的解密工具 … …

事實上，正義的一方從未鬆懈，雖然抓到人很難，但大家從沒停止減輕危害，並且用各種辦法來發現找到這群罪犯藏身之處的辦法。

王正告訴我，在這長達一年多的時間裡，他們實驗室也一直監視著勒索團夥的活動，只要出現新的版本，就立刻向客戶發出預警，然後儘快抓取樣本進行分析，儘可能在裡面發現更多蛛絲馬跡。



這是王正電腦裡的甘地蟹勒索軟體樣本（部分截圖）

可是，就在大家以為正邪之間的攻防要進入高潮之時，整個事情戛然而止。

6月1日，甘地蟹運營團隊在國外論壇上官方突然宣布退休，停止甘地蟹勒索病毒的更新，並且要求所有代理商停止活動……

在帖子裡，他們宣布「退休」，原因是「錢掙夠了」。



當時的俄文帖子

他們聲稱，在這一年多時間裡，甘地蟹和「代理商」們已經通過勒索軟體成功勒索到超過20億美元，平均每周收入250萬美元，每人每年賺得超過1.5億美元。

他們還說「已經成功兌換了這筆錢」，並且在現實世界將這筆錢洗白。

更氣人的是，他們還揚言：

「我們已經證明，作惡不會惡報，我們證明，一年內可以賺夠一生花不完的錢……」

宣布退休後，他們將所有密鑰直接刪除，那些被勒索還沒來得及叫贖金的人將永遠拿不到解密密鑰。

這個被稱之為「俠盜」的犯罪團夥，在金盆洗手時沒有選擇把手上的「人質」放走，而是直接撕票。

得知消息後的那天晚上，王正打開電腦，看著文件夾里舖滿整個屏幕的甘地蟹勒索軟體樣本，想起自己這一年半的努力，百感交集。

這一年多時間裡，他一直在追蹤這個犯罪團夥，如今對方賺夠了錢，高調退休，而自己卻依然每天擠地鐵上下班，拿著不高的收入，為生活勞苦奔波。

「要是做安全能賺這麼多錢就好了。」

他在網上發了篇文章總結自己一年的追蹤工作，結尾時忍不住感慨，

「這是個悲傷的故事，做黑產的都賺著大錢發財了，做安全的卻賺著一點點辛苦錢，靠微薄的薪水維持生活，甚至不受待見。」

在此之前，有人曾在他的文章後臺留言指責，「連個勒索都防不住？怎麼做安全的？」

他說，「有時候我在想，要不要去做黑產? 各種安全技術我有，黑產運作我也懂，做安全的這幫人怎麼在玩，我也了解，為啥不去做黑產? 賺一票了走人?」

但是他沒有。

我問他為什麼，他說他相信做安全未來會很有前途。

「做黑產的賺了錢，後面就會有越來越多的黑產團隊起來作惡」，而這正是他們施展拳腳的機會。

文章末尾，他寫了這麼一段話：




看到這段話時，我覺得世界上有像王正這樣的人，是我們普通人的幸運。

反過來，甘地蟹成員多存在一天，都是我們的不幸。

他們哪怕是在最後「退休」時，都不忘在人群之中釋放一個大「病毒」，刺激著受害者和觀眾們的眼球和貪慾，慫恿更多人走向泥潭。

看到甘地蟹退休的帖子時，我腦子裡忽然浮現出一張照片：



綽號「大富豪」的犯罪首腦張子強

這是我前幾天在「魔宙」上看到的一篇故事，這張照片拍自1995年6月23日，張子強從香港的法院走出來時的樣子。

幾年前，他帶領犯罪團夥搶劫了香港啟德機場，涉案金額3000萬，儘管警方的各種線索都指向他，但最終因為證據不足撤訴，張子強甚至因此反過來起訴香港警方，獲賠800萬港元。

他就是那個時代橫行香港的大螃蟹。

1996年，他帶領團夥綁架李嘉誠的兒子李澤鉅，勒索20億港元，最終10億3800萬成交。膽大包天的他居然只身前往李嘉誠家裡談判，又分兩次開著車到李家拉錢。



以張子強為原型的電影《樹大招風》裡的談判現場

最後一次把錢帶走時，李嘉誠叫住張子強，給了他一條臨別忠告。

「……現在你有的錢已經夠你一生享用用，希望你從此洗心革面，隱姓埋名，遠走高飛……」

張子強哈哈大笑，上車探出頭說，今晚李公子回家。揚長而去。

甘地蟹團夥在論壇上發的帖子和張子強那時洋洋得意的樣子如出一轍。

可是犯罪是會上癮的，張子強哪裡停得下來。

1997年，張子強團夥再次綁架香港第二富豪郭炳湘，勒索6億港元。警方的各種線索再次指向張子強，可是依然證據不足。

終於，在1998年，警方查獲一個足足堆了800公斤炸藥的屋子，所有線索指向張子強，有傳言他想拿著這些炸藥去炸監獄，營救同黨，也有傳言他想去恐嚇香港政府。

案發後，張子強偷渡逃往廣東，被廣東省公安機關抓捕，並最終找出炸藥源頭，以「非法買賣爆炸物罪」將他判處死刑。

在生命的最後一段時間，張子強回憶說：「我這種不斷想進行綁架勒索的想法，就好像登山運動員，爬上一個高峰後，又想上另一個高峰。」

故事中的另一段細節同樣讓人印象深刻。

判決前一天，張子強的嶽父帶著他兩個才幾歲的兒子來看他，老婆害怕被抓，沒來。

聊天時，他招呼嶽父趕緊帶著孩子離開香港躲起來，因為恨他們的人太多……小孩子不耐煩，從大人腿上滑下來在接見室裡蹦蹦跳跳，時間很快到了，外公趕緊抱著孩子過來，讓張子強再看一眼。

張子強看著自己的兒子，一步三回頭離開了接見室，不知道那一刻他有沒有想過自己有這一天，心裡有沒有一絲後悔。

這個曾經囂張跋扈的「大富豪」，最終沒能看到自己孩子長大的樣子。



張子強團夥死刑執行現場

甘地蟹勒索團夥的故事以高調退休而告一段落，可是罪犯們的人生還沒有結束，貪慾在他們的腦子裡又會捲起什麼樣的旋渦？沒人知道。

王正們也繼續轉向研究其他勒索木馬、惡意軟體，過著小日子，雖然偶爾加班勞累，但做著自己熱愛的安全工作，回到家裡有家人陪伴或掛念，心裡踏實。

甘地蟹說，「我們已經證明，作惡不會惡報……」，我想告訴他中國有句古話，「不是不報，…… 」