GandCrab第一代勒索病毒首次出现于2018年1月，后面经历了五个大版本的更新迭代，该系列病毒特征是采用RSA+AES加密算法，从算法上分析解密难度较大，会将系统中的大部分文件加密为随机后缀名的文件，然后对用户进行勒索。本实验分析GandCrab最新的版本v5.2(2019年2月首次出现)，病毒样本信息如下

MD5	b48f9c12805784546168757322a1b77d
SHA-256	3ebec93588b67b77545bb9aaf353fc66911c2ea7f4cfee86b93581dea95fabf1
文件大小	93kb

 样本来源：安全沙箱网站https://s.threatbook.com/，搜索MD5码即可

步骤1 样本如下，解压后将样本命名为CandCrab.exe

步骤2 新建一个测试目录，里面放了各种类型的文件，包括图片、文本、文档、压缩包，且放一些空的文件

步骤3 运行病毒程序，然后再次打开test目录，可以看到除了空文件，所有文件文件都被加了后缀naeluc，无法打开，且说明该病毒不会加密空文件，因为空文件没有价值。

步骤4 把后缀去掉后文件也无法打开

步骤5 使用虚拟机的快照功能恢复初始状态，再运行病毒程序，发现结果一样，非空文件都被加了后缀，且跟刚刚后缀不一样，说明后缀是随机生成的

步骤6  在目录下还新生成了一个NAELUC-MANUAL.txt，打开该文档发现是一封勒索信，大致意思是所有文件、文档、照片、数据库和其他重要文件都经过加密，扩展名为naeloc，恢复文件的唯一方法是购买唯一的私钥。只有这样才能恢复文件，然后提供了购买私钥的链接。

步骤7 发现电脑桌面也被修改，且写着受害主机的用户名lyt，如下图

病毒行为总结：首次执行时，会生成勒索ID，遍历计算机所有文件，对非空文件进行加密，生成随机字符串后缀，并在同级目录下生成勒索信（-MANUAL.txt），并更换桌面壁纸为特定壁纸，会显示受害主机的用户名。