他们靠勒索致富，一年挣20亿美金，还说“坏人没坏报”

大家好，我是谢幺。今天跟大家聊一个关于勒索的事。

不晓得你有木有被敲诈勒索过，反正我不仅被勒索过，还勒索过别人。

先说被勒索的吧。

那是在小学四年级上学的路上，马路对面窜过来一个十四五岁的男孩，抓住我胳膊直接就问，有钱吗？拿出来！我一愣，说有，然后掏出兜里仅有的三块钱，其中一元是往返公交车费，另外两元是早餐钱，米粉一块五，加个蛋五毛。

那天为了不迟到，我空着肚子连走带跑赶到教室，一路上满脑子全是他拿着我的钱大摇大摆走掉的背影。那段时间我正在攒钱，每天靠放学走路回家或不吃早饭来换取一台奥迪双钻四驱车。

我咬着牙心想，凭什么我就得这么苦了吧唧攒钱，而他却可以用暴力威胁直接抢走我的？凭什么？

之所以我当时不反抗，是因为市里治安向来很差，高中生抢初中生，初中生抢小学生，就像是大鱼吃小鱼，小鱼吃虾米一样平常，遇上只能自认倒霉，赶上脾气好点的还能给你留五毛钱路费，碰到脾气差的，稍微抵抗就是一耳光。当时也没报警的意识，毕竟对方也是未成年人。

后来我想出一个比较怂的办法，把钱装进袜子，踩在脚底。遇到抢钱就装可怜，说刚才已经被另一个抢走了（嘤嘤嘤……），不信你搜！（嘤嘤嘤……）

一般这种情况对方都懒得搜我，搜也搜不到，方式挺管用，唯一的缺点是钱拿出来时会有豆豉味儿。

等我上初中，终于也有了抢别人的“资本”。

我的“第一次”，也是最后一次，发生在一个周末。游戏厅里，我跟表哥在打《恐龙快打》，瞅见一个小学生掏出一张五十，买完币把四张十块零钱卷起来，藏在裤腿里，我和表哥一对眼，决议抢了他。

半小时后见小孩走出游戏厅，我们就五米开外跟着，那是我第一次抢劫别人，心里慌得一匹，等他拐进一条巷子，我俩冲过去抓住他胳膊就直接走“流程”。

小孩先是一惊，然后说没钱，不信你们搜！看来也是经常被抢的样子。

我和表哥相视一笑，弯下腰准备卷下小孩裤腿。就在此时，两个大人恰好从巷子路过，我们怕小孩大喊求救，只好拔腿跑路，钱也没抢到。

这么多年过去了，我一直记得这个小事儿。现在想来，之所以当年我的家乡治安那么乱，很大程度是因为犯罪会“传染”。施暴者一次次用拳头告诉受害者和旁观者：谁的拳头硬谁就有理。

我很庆幸那次抢劫失败，因为犯罪就像是泥潭，一次尝到暴力勒索的甜头，就很难停下来。而被我抢的那个孩子又会不会心想“凭什么我辛苦攒钱，他们能直接抢？”，然后成为下一个抢劫者，如此循环不断传染？就像老兵欺负新兵，新兵成了老兵再欺负新兵一样。

到如今，治安水平显著提升，街上再难遇到直接拦路勒索的。

但是，这并不意味着暴力抢夺的欲望就此从我们的生活中消失，它可能像没有爆发的病毒一样深埋在一些人的心里，也可能换了一种方式呈现。比如，网络勒索。

今天要给大家讲的勒索故事和上面说的性质差不多，只是程度要凶猛一百倍、一千倍、一万倍，一亿倍……至少，在涉案金额上是如此。

2018年1月前后，安全研究员王正在论坛发现一个不太起眼的勒索软件，名叫GandCrab，后面那个单词 Crab 是螃蟹的意思，所以翻译过来大概叫 “甘地蟹”。

王正是病毒分析界的老湿敷，看到新出现的勒索病毒立刻心痒痒，麒麟开始发作，于是他抓起键盘挠有兴致地研究起来。

初代“甘地蟹”勒索病毒版本对王正来说，是个弱鸡。三下五除二，他就解密出勒索软件的核心代码。

此时，他还不知道这款名字听起来萌萌哒的勒索软件将在其后一年之内成为全世界兴风作浪的“蟹妖”。

他发现一件挺有意思的事，大多数勒索软件都要比特币，而这款软件向用户勒索的是“达世币”（DASH）。

这是一种在比特币基础上做了技术改良的币种，对匿名性做了加强。达世币被俗称为“暗黑币”，因为非常适合做黑市交易。

就在王正分析完病毒代码的第三天，1月28日，他发现甘地蟹团队在地下论坛发出帖子，售卖这款勒索软件。

王正隐约感还会在工作中遇到它，但他此时并没料到这款软件居然能成为2018年的“勒索之王”。

再次注意到甘地蟹的动静时，王正刚刚入职安全公司“深信服”不久，在千里目实验室负责勒索软件分析。

3月份，甘地蟹开始横行，当时仅欧洲就感染超过50000名用户。

受害者中招后，除了大量文件被加密无法打开，还会看到一封勒索信，信里一五一十地告诉你出了啥情况，让你别惊慌，走一遍付款流程就能恢复正常。

赎金大概价值：300~500美元，折合人民币两三千块。

如果你不会买比特币、达世币，不会上暗网，他们还会手把手教你购买方式。

当然，他们会给你留一个倒计时，比如48小时，超过48小时没支付，赎金就会翻一翻，300美元变600美元，500美元变1000美元，程序自动翻番，没得商量。

不过，甘地蟹在1.0版本的时候犯了一个技术失误，导致欧洲警方联合罗马尼亚的安全公司“比特梵德”（Bitdefender）成功攻入甘地蟹的控制服务器，拿到解密密钥。

并且做成一款免费的勒索解密工具，发布在知名反勒索网站“绝不交赎金”（No more ransom）上。

这一下就给大螃蟹惹毛了，他们一个月内就开发出 2.0 版的勒索软件，不仅修补了原来的漏洞，还优化了很多地方，比如加了二维码，让受害者付款更顺畅。

甚至，他们还把一台服务器的名字改成“politiaromana.bit”来挑衅罗马尼亚警方。

既然警方都能攻入勒索团伙的服务器，为啥抓不住他们？

王正告诉我，“拿到服务器并不一定能定位到人”，抓黑客的肉身这种事，情况通常比较复杂。

一来，他们一般会用“跳板服务器”来伪装自己，这就好比罪犯操控一个傀儡，傀儡再操控一个傀儡，傀儡再操控一个傀儡…………由最后那个傀儡来执行任务，警方虽然也可以一层一层去追踪溯源，但成本很高。

二来，犯罪分子肉身可能在地球的任何一个国家或地区，跳板服务器也可能分布在世界各地，跨国调查和抓捕向来不容易。

现在看来，罪犯的肉身很可能在俄罗斯及周边地区，因为他们发帖有时会直接用俄文。

甘地蟹的运营团队把作案工具和方式公开提供给他人，向微商一样疯狂发展代理商、下线，然后从下游勒索犯那里抽成30~40%。

这种事并不少见，在业内的标准说法叫“勒索即服务”（RaaS），把勒索做成一种服务，让人人有索勒，人人都能打家劫舍。

通过这种方式，他们快速拓开渠道，吸纳了一大堆“马仔”替自己打家劫舍，输入资金，然后自己抽身到幕后，变成一个不亲自上场，只在后方输送武器弹药和策略的团伙。

这踏马活脱脱就是一个黑帮的架构啊！从2018年1月28日的那个出售帖开始，两三个月时间不到，“甘地蟹勒索家族”就已经成型。

由于组织发展快速，甘地蟹勒索软件的传播方式也在马仔们的不懈努力下实现两开花，三开花，全面开花。

起初，他们主要靠“远程桌面爆破”（RDP爆破）来入侵。

许多 Win 系统用户安全意识薄弱，电脑默认开启了远程桌面连接功能，却不打补丁，还稀里糊涂用了简单的接入密码，于是理所应当就成了甘地蟹的头号目标。

到后来，什么U盘传播、垃圾邮件传播、网站挂木马传播，软件捆绑 … … 几乎你能想到的病毒木马传播方式，马仔们都用上了，目的只有一个，把勒索软件送进人们的电脑里。

这场景大概就像是七八十年代走在一条治安不太好的街上，冷不丁就能遇到拦路抢劫、飞车党、砍手党什么的。就算你不出门，也说不定有人穿着假警服上门讹你。

随着时间推移，越来越多的证据表明甘地蟹的背后是战斗民族。

大概从甘地蟹4.0版本开始，感染机器后会先检测受害者的系统语言和所在地区，如果是俄语或者某些前苏联语言，比如乌克兰、白俄罗斯、哈萨克族，以及各种斯坦……就不会进行勒索。

如果你以为他们这么做的目的是不想伤害“自己人”，那你就错了，他们真正的目的大多是为了避免引起当地警方的注意，增加自己肉身被抓的风险。

另一个证据是18年8月，有安全公司分析4.2.1版本的甘地蟹勒索软件时，直接在里面发现了俄文文件夹，由此基本可以断定，除非有人故意嫁祸，否则作案团伙就在俄罗斯地区。

尽管甘地蟹在全球作恶，却有人管他们叫“侠盗”。

这事儿起源于2018年10月份，一位叙利亚男子在网上发布了一段推文：

“我叫詹米尔，因为战乱，我痛失了两个儿子，现在身边唯一的念想只有在他们生前拍的一些照片和录像，如今却被甘地蟹给加密了。”

“他们要600美元才能把孩子还给我，可我和妻子紧衣缩食，吃饭活命尚且困难，哪里出得起这600美元？”

都这么惨了还遇到网络勒索，简直闻者伤心见者落泪啊。

甘地蟹运营团队得知消息后，便在网上发布道歉，并且放出所有叙利亚感染者的解密密钥。

不久，他们发布甘地蟹 5.0.5 更新，将叙利亚地区加入了“勒索白名单”。

就这么个事，新闻一出，甘地蟹竟然就被套上了“侠盗”的称号，不少文章作者还用“盗亦有道”来形容他们。

这就好比一个人天天杀人，忽然哪天不杀了，还扶了个老奶奶过马路，就变成“活雷锋”，简直神了。

也不知道那些管它叫“侠盗”的人是不是得了斯德哥尔摩综合征，他们难道不知道，此时还有成千上万的人因为勒索而身处水深火热？

王正告诉我，根据深信服千里目实验室的调查，甘地蟹从 5.0.3 版本开始就已经在中国成了头号网络勒索犯，活跃在福建、浙江、山西、吉林、贵州、天津等多个地区。

有些医院因为甘地蟹的勒索而出现业务瘫痪，影响病患正常看病治疗。我猜想，彼时医院大厅里焦急等待的病患和家属，恐怕不太能接受“侠盗”的说法。

“没有人知道他们赚了多少”，王正说，一个很遗憾且很普遍的情况是，很多大型企业遭遇勒索之后不敢声张，毕竟家丑不可外扬，悄悄交了赎金搞定，或者找安全公司寻求帮助，这直接导致了螃蟹越来越嚣张。

在 5.0.3 版本的传播态势被扑灭后，甘地蟹推出 5.0.4 版本，一打开就弹出提示框：“我们很快就会回来！”

旁边附带了一大段脏话大骂此人，一查才发现被怼的这个人是俄罗斯一家物流公司的 CFO。

除此之外，甘地蟹运营团队从2019年开始，还频繁地向外界炫富。

2月9日那天，他们就抛出过一个数据，讲自己仅仅上个月的收入就超过285万美元，折合人民币超过1926万元。

有人猜测，之所以公开他们这么做，一方面是炫耀，另一方面也想吸引更多“代理商”的加入。

这个逻辑和朋友圈里晒富吸引下线的微商没本质差别。

事情终究还是有了些转折。

从2019年2月开始，安全公司 Bitdefender 联合警方也不知道用了什么法子，又搞出了一个解密工具，能解开甘地蟹 5.0 及之前所有版本。王正猜测，“应该是和警方再一次拿到了（勒索软件控制）服务器。”

勒索团伙又反扑，研究出新的5.1版本，可没过多久，警方又发出了新的解密工具 … …

事实上，正义的一方从未松懈，虽然抓到人很难，但大家从没停止减轻危害，并且用各种办法来发现找到这群罪犯藏身之处的办法。

王正告诉我，在这长达一年多的时间里，他们实验室也一直监视着勒索团伙的活动，只要出现新的版本，就立刻向客户发出预警，然后尽快抓取样本进行分析，尽可能在里面发现更多蛛丝马迹。

可是，就在大家以为正邪之间的攻防要进入高潮之时，整个事情戛然而止。

6月1日，甘地蟹运营团队在国外论坛上官方忽然宣告退休，停止甘地蟹勒索病毒的更新，并且要求所有代理商停止活动……

在帖子里，他们宣告“退休”，原因是“钱挣够了”。

他们声称，在这一年多时间里，甘地蟹和“代理商”们已经通过勒索软件成功勒索到超过20亿美元，平均每周收入250万美元，每人每年赚得超过1.5亿美元。

他们还说“已经成功兑换了这笔钱”，并且在现实世界将这笔钱洗白。

更气人的是，他们还扬言：

“我们已经证明，作恶不会恶报，我们证明，一年内可以赚够一生花不完的钱……”

宣告退休后，他们将所有密钥直接删除，那些被勒索还没来得及叫赎金的人将永远拿不到解密密钥。

这个被称之为“侠盗”的犯罪团伙，在金盆洗手时没有选择把手上的“人质”放走，而是直接撕票。

得知消息后的那天晚上，王正打开电脑，看着文件夹里铺满整个屏幕的甘地蟹勒索软件样本，想起自己这一年半的努力，百感交集。

这一年多时间里，他一直在追踪这个犯罪团伙，如今对方赚够了钱，高调退休，而自己却依然每天挤地铁上下班，拿着不高的收入，为生活劳苦奔波。

“要是做安全能赚这么多钱就好了。”

他在网上发了篇文章总结自己一年的追踪工作，结尾时忍不住感慨，

“这是个悲伤的故事，做黑产的都赚着大钱发财了，做安全的却赚着一点点辛苦钱，靠微薄的薪水维持生活，甚至不受待见。”

在此之前，有人曾在他的文章后台留言指责，“连个勒索都防不住？怎么做安全的？”

他说，“有时候我在想，要不要去做黑产? 各种安全技术我有，黑产运作我也懂，做安全的这帮人怎么在玩，我也了解，为啥不去做黑产? 赚一票了走人?”

但是他没有。

我问他为什么，他说他相信做安全未来会很有前途。

“做黑产的赚了钱，后面就会有越来越多的黑产团队起来作恶”，而这正是他们施展拳脚的机会。

文章末尾，他写了这么一段话：

看到这段话时，我觉得世界上有像王正这样的人，是我们普通人的幸运。

反过来，甘地蟹成员多存在一天，都是我们的不幸。

他们哪怕是在最后“退休”时，都不忘在人群之中释放一个大“病毒”，刺激着受害者和观众们的眼球和贪欲，怂恿更多人走向泥潭。

看到甘地蟹退休的帖子时，我脑子里忽然浮现出一张照片：

这是我前几天在“魔宙”上看到的一篇故事，这张照片拍自1995年6月23日，张子强从香港的法院走出来时的样子。

几年前，他带领犯罪团伙抢劫了香港启德机场，涉案金额3000万，尽管警方的各种线索都指向他，但最终因为证据不够撤诉，张子强甚至因此反过来起诉香港警方，获赔800万港元。

他就是那个时代横行香港的大螃蟹。

1996年，他带领团伙绑架李嘉诚的儿子李泽钜，勒索20亿港元，最终10亿3800万成交。胆大包天的他居然只身前往李嘉诚家里谈判，又分两次开着车到李家拉钱。

最后一次把钱带走时，李嘉诚叫住张子强，给了他一条临别忠告。

“……现在你有的钱已经够你一生享用用，希望你从此洗心革面，隐姓埋名，远走高飞……”

张子强哈哈大笑，上车探出头说，今晚李公子回家。扬长而去。

甘地蟹团伙在论坛上发的帖子和张子强那时洋洋得意的样子如出一辙。

可是犯罪是会上瘾的，张子强哪里停得下来。

1997年，张子强团伙再次绑架香港第二富豪郭炳湘，勒索6亿港元。警方的各种线索再次指向张子强，可是依然证据不够。

终于，在1998年，警方查获一个足足堆了800公斤炸药的屋子，所有线索指向张子强，有传言他想拿着这些炸药去炸监狱，营救同党，也有传言他想去恐吓香港政府。

案发后，张子强偷渡逃往广东，被广东省公安机关抓捕，并最终找出炸药源头，以“非法买卖爆炸物罪”将他判处死刑。

在生命的最后一段时间，张子强回忆说：“我这种不断想进行绑架勒索的想法，就好像登山运动员，爬上一个高峰后，又想上另一个高峰。”

故事中的另一段细节同样让人印象深刻。

判决前一天，张子强的岳父带着他两个才几岁的儿子来看他，老婆害怕被抓，没来。

聊天时，他招呼岳父赶紧带着孩子离开香港躲起来，因为恨他们的人太多……小孩子不耐烦，从大人腿上滑下来在接见室里蹦蹦跳跳，时间很快到了，外公赶紧抱着孩子过来，让张子强再看一眼。

张子强看着自己的儿子，一步三回头离开了接见室。不知道那一刻他有没有想过自己有这一天，心里有没有后悔。

这个曾经嚣张跋扈的“大富豪”，没能看到自己孩子长大的样子。

甘地蟹勒索团伙的故事以高调宣告退休而告一段落，可是罪犯们的人生还没有结束，贪欲在他们的脑子里又会卷起什么样的旋涡？

王正们也继续转向研究其他勒索木马、恶意软件，过着小日子，虽然偶尔加班劳累，但做着自己热爱的安全工作，回到家里有家人陪伴，心里踏实。

甘地蟹说，“我们已经证明，作恶不会恶报……”，我想告诉他中国有句古话，“不是不报，…… ”

再介绍一下我自己吧，我是谢幺，科技科普作者一枚，日常是把各路技术讲得通俗有趣。想跟我做朋友，可以加我的个人微信：xieyaopro。不想走丢的话，请关心【浅黑科技】！

【浅黑科技】系头条号签约作者。