數據解密行業亂象再顯 全國首名製作比特幣勒索病毒嫌疑人被捕

    中國青年報客户端訊 （蘇錦安  中青報·中青網記者 李超）當前，勒索病毒不斷蔓延，各類新型病毒層出不窮，一些企業、金融機構甚至政府網站遭到攻擊，犯罪嫌疑人索要贖金只認比特幣，以逃避警方追查。10月8日，江蘇省南通市公安局通報，在“淨網2020”專項行動中，南通公安機關成功偵破一起由公安部督辦的特大製作、使用勒索病毒破壞計算機信息系統從而實施網絡敲詐勒索的案件，抓獲巨某、謝某、譚某等3名犯罪嫌疑人，其中巨某系多個比特幣勒索病毒的製作者。

     據悉，這是全國公安機關抓獲的首名比特幣勒索病毒的製作者。截至案發，巨某已作案百餘起，非法獲利的比特幣摺合人民幣500餘萬元。

       今年4月，江蘇啓東某大型超市的收銀系統遭到攻擊，被黑客植入勒索病毒，造成系統癱瘓無法正常運轉。接到報案後，南通市公安局成立專案組。

       “通過數據勘驗，我們找到一個如何解密文件的全英文留言，要求受害人必須支付1比特幣作為破解費用。”網絡攻防專家、南通市公安局網安支隊三大隊副大隊長許平楠説，經對該超市的服務器進行數據勘驗，發現黑客鎖定的服務器中所有文件均被加密，文件的後綴名都變成了“lucky”，文件和程序均無法正常運行，而在C盤根目錄下有個自動生成的文本文檔，留有黑客的比特幣收款地址和郵箱聯繫方式

      “這是一起典型的使用勒索病毒破壞計算機信息系統從而實施網絡敲詐勒索的案件。”許平楠説，近年來，比特幣勒索病毒攻擊在全國乃至全球範圍內整體呈上升趨勢，令人深惡痛絕，但發起每次攻擊的始作俑者身份始終成謎。對這起案件，儘管專案組做了大量工作，但始終沒有絲毫進展，偵查陷入僵局。

       案件偵查過程中，受害超市負責人反映，由於被鎖服務器中有重要工作數據，格式化將帶來巨大損失，其聯繫了外地一家數據恢復公司，以更低的價格委託解鎖加密文件，後對方成功對服務器數據進行了解密。

       “一般來説，沒有病毒製作者的解密工具，其他人是無法完成解密的。”專案組成員、啓東市公安局網安支隊民警黃瀟艇説，勒索病毒入侵電腦，對文件或系統進行加密，每一個解密器都是根據加密電腦的特徵新生成的，只有按要求支付比特幣才能解開。

       獲悉這一情況，專案組判斷，其中定有隱情。經過走訪調查，這家數據恢復公司的負責人吐露實情，原來他們通過郵箱直接與黑客取得聯繫，最終花了0.5比特幣的代價得到解鎖工具，從而順利完成任務，賺取差價。

      專案組通過相關記錄，深度研判分析，不僅排除了數據恢復公司的作案嫌疑，還成功鎖定犯罪嫌疑人的真實身份為巨某，案件偵破工作取得重大進展。

        5月7日，專案組在山東威海將巨某抓獲歸案，並在其居住地查獲作案用的電腦。民警在其電腦中還找到相關郵件記錄、比特幣交易記錄以及相關勒索病毒工具的源代碼。

      經查，今年36歲的巨某是內蒙古赤峯人，自幼喜好並自學鑽研計算機知識，精通編程、網站攻防等技術，後成立工作室，利用自己開發的軟件炒股，起初賺了不少錢，後虧損300多萬元。

       2017年下半年，債台高築的巨某偶然間得知有黑客用勒索病毒將他人電腦文件加密鎖定後敲詐錢財，於是靈機一動，嘗試開發病毒程序，通過研究“永恆之藍”工具以及“撒旦”等勒索病毒，巨某編寫了“satan_pro”病毒程序，用於作案。

       “被植入病毒的服務器中，所有的數據庫文件、文檔都會被加密，只有通過郵箱聯繫我，支付比特幣，我才會把解鎖工具發給對方。”巨某交代稱，自己開發了一款網站漏洞掃描軟件，在獲得相關控制權限後，就有針對性地在一些服務器植入勒索病毒。

       為避免破解和逃避公安機關的追查，巨某又陸續升級開發了4款勒索病毒，除了索要難以追查的比特幣作為贖金，他還通過境外的網盤和郵箱將解密軟件發送給受害人，並經常更換，到手的比特幣也都是通過境外網站交易。

        經大量工作，專案組查明，巨某先後向400多家網站和計算機系統植入敲詐勒索病毒，受害單位涉及企業、醫療、金融等行業，啓東這家超市收銀系統即是被植入了“nmare”病毒。案件中，蘇州某上市科技公司的系統被巨某植入病毒，導致停產停工三天，損失巨大。

        期間，數家數據恢復公司主動聯繫巨某尋求合作，最終，巨某與謝某、譚某經營的一家數據恢復公司談妥，由巨某編程，病毒中的聯繫方式和比特幣賬户為該公司所有，再由公司尋找目標植入病毒，到手後按比例分成。6月上旬，謝某、譚某在廣州落網。

      “犯罪手法隱蔽，社會危害大，同時也暴露出數據解密行業的亂象。”南通市公安局網安支隊支隊長張建説，近年來，勒索病毒攻擊破壞案件時有發生，侵害目標多為黨政機關和企事業單位的重要信息系統，嚴重危害正常辦公秩序和經濟運行秩序，甚至有數據恢復公司主動與黑客取得聯繫，共同開展攻擊破壞和敲詐勒索，同時藉機搶佔勒索病毒解密市場，成為勒索病毒蔓延擴散的幫兇。

      目前，3名犯罪嫌疑人均因涉嫌敲詐勒索罪被逮捕。

     南通警方提醒廣大企業和羣眾，平時應養成良好的安全文明上網習慣，注重信息安全等級保護，及時更新系統和軟件，安裝正規的殺毒軟件和防護牆，修補漏洞，同時定期對重要數據進行備份。此外，一旦使用的計算機感染了病毒，還需儘快修改支付密碼，以免造成其他財產損失。

 

來源：中國青年報客户端