中國抓到了勒索病毒作者,上市公司停工3天！

這事真的，原因江蘇警方來北京找華盟總部找到我了，原因我們中過這個病毒給他交過比特幣贖金，找我記錄一下，準備退款。

隨著國外勒索病毒犯罪的興起，國內(nèi)此類案件也發(fā)生的越來越多，一些企業(yè)、金融機構(gòu)甚至政府部門都開始遭受攻擊，攻擊者為了能勒索錢到手，痕跡不沾身，都選擇只認比特幣作為贖金。

這些犯罪分子以為只要通過比特幣就可以完美犯罪，躲避警方追查，逍遙法外，不過進步的可不止有這些犯罪分子，警方也在抓捕網(wǎng)絡犯罪技術手段上突飛猛進。

就在昨天，南通警方公布了我國公安機關抓獲的首個比特幣勒索病毒的制作者。

10月9日，警方在“凈網(wǎng)2020”專項活動中，南通、啟東兩級公安機關聯(lián)手，日前成功偵破一起由公安部督辦的特大制作、使用勒索病毒破壞計算機信息系統(tǒng)，從而實施網(wǎng)絡敲詐勒索的案件，抓獲巨某、謝某、譚某等3名犯罪嫌疑人，其中巨某系多個比特幣勒索病毒的制作者。

▲犯罪嫌疑人巨某在其居住的別墅內(nèi)被抓獲

據(jù)悉，截止犯罪嫌疑人巨某被抓，已經(jīng)成功作案上百起，非法獲利的比特幣折合人民幣500余萬元。

▲數(shù)據(jù)恢復公司員工筆記

收銀系統(tǒng)被黑，超市遭網(wǎng)絡勒索

今年4月，啟東某大型超市的收銀系統(tǒng)遭到攻擊，被黑客植入勒索病毒，造成系統(tǒng)癱瘓無法正常運轉(zhuǎn)。接到報案后，南通市公安局成立由啟東公安和市局網(wǎng)安、法制等部門組成的專案組，開展破案攻堅。

“通過數(shù)據(jù)勘驗，我們找到一個如何解密文件的全英文留言，要求受害人必須支付1比特幣作為破解費用?！本W(wǎng)絡攻防專家、南通市公安局網(wǎng)安支隊三大隊副大隊長許平楠說，經(jīng)對該超市的服務器進行數(shù)據(jù)勘驗，發(fā)現(xiàn)黑客鎖定的服務器中所有文件均被加密，文件的后綴名都變成了“ｌｕｃｋｙ”，文件和程序均無法正常運行，而在Ｃ盤根目錄下有個自動生成的文本文檔，留有黑客的比特幣收款地址和郵箱聯(lián)系方式。

“這是一起典型的使用勒索病毒破壞計算機信息系統(tǒng)，從而實施網(wǎng)絡敲詐勒索的案件?！痹S平楠說，近年來，比特幣勒索病毒攻擊在全國乃至全球范圍內(nèi)整體呈上升趨勢，令人深惡痛絕，但發(fā)起每次攻擊的始作俑者身份始終成謎。對這起案件，盡管專案組做了大量工作，但始終沒有絲毫進展，偵查陷入僵局。

警方順藤摸瓜，病毒制作者落網(wǎng)

案件偵查過程中，受害超市負責人反映，由于被鎖服務器中有重要工作數(shù)據(jù)，格式化將帶來巨大損失，于是聯(lián)系了外地一家數(shù)據(jù)恢復公司，以更低價格委托解鎖加密文件，后來這家公司成功地對服務器數(shù)據(jù)進行了解密?！耙话銇碚f，沒有病毒制作者的解密工具，其他人是無法完成解密的?！睂０附M成員、啟東市公安局網(wǎng)安支隊民警黃瀟艇說，勒索病毒入侵電腦，對文件或系統(tǒng)進行加密，每一個解密器都是根據(jù)加密電腦的特征新生成的，只有按要求支付比特幣才能解開。

獲悉這一情況，專案組判斷，其中定有隱情。經(jīng)過走訪調(diào)查，這家數(shù)據(jù)恢復公司的負責人吐露實情，原來他們通過郵箱直接與黑客取得聯(lián)系，最終花了0．5比特幣的代價得到解鎖工具，從而順利完成任務，賺取差價。

專案組通過相關記錄，深度研判分析，排除了數(shù)據(jù)恢復公司的作案嫌疑，成功鎖定犯罪嫌疑人的真實身份為巨某，案件偵破工作取得重大進展。

5月7日，專案組在山東威海將巨某抓獲歸案，并在其居住地查獲作案用的電腦。民警在其電腦中還找到相關郵件記錄、比特幣交易記錄以及相關勒索病毒工具的源代碼。

自認完美犯罪，贖金只認比特幣

經(jīng)查，巨某今年36歲，內(nèi)蒙古赤峰人，自幼喜好并自學鉆研計算機知識，精通編程、網(wǎng)站攻防等技術，后成立工作室，利用自己開發(fā)的軟件炒股，起初賺了不少錢，后虧損300多萬元。

2017年下半年的某天，債臺高筑的巨某偶然間得知，有黑客用勒索病毒將他人電腦文件加密鎖定后敲詐錢財，于是靈機一動，嘗試開發(fā)病毒程序，通過研究“永恒之藍”工具以及“撒旦”等勒索病毒，巨某編寫了“ｓａｔａｎ＿ｐｒｏ”病毒程序用于作案。“被植入病毒的服務器中，所有的數(shù)據(jù)庫文件、文檔都會被加密，只有通過郵箱聯(lián)系我，支付比特幣，我才會把解鎖工具發(fā)給對方?！本弈辰淮?，自己開發(fā)了一款網(wǎng)站漏洞掃描軟件，在獲得相關控制權(quán)限后，就有針對性地在一些服務器植入勒索病毒。

為避免破解和逃避公安機關的追查，巨某又陸續(xù)升級開發(fā)了“ｎｍａｒｅ“ｅｖｏｐｒｏ”“ｓｖｍｓｔ”“5ｓｓ5ｃ”等4款勒索病毒，除了索要難以追查的比特幣作為贖金，還通過境外的網(wǎng)盤和郵箱將解密軟件發(fā)送給受害人，并經(jīng)常更換，到手的比特幣也都是通過境外網(wǎng)站交易。

盡管巨某機關算盡，自認為犯罪行為天衣無縫，是“完美犯罪”，最終還是沒能逃出辦案民警的法眼。

社會危害嚴重，行業(yè)亂象不容忽視

經(jīng)大量工作，專案組查明，巨某先后向400多家網(wǎng)站和計算機系統(tǒng)植入敲詐勒索病毒，受害單位涉及企業(yè)、醫(yī)療、金融等行業(yè)，啟東這家超市收銀系統(tǒng)即是被植入“ｎｍａｒｅ”病毒。在相關案件中，蘇州某上市科技公司的系統(tǒng)被巨某植入病毒，導致停產(chǎn)停工3天，損失巨大。

期間，數(shù)家數(shù)據(jù)恢復公司主動聯(lián)系巨某尋求合作。最終，巨某與謝某、譚某經(jīng)營的一家數(shù)據(jù)恢復公司談妥，由巨某編程，病毒中的聯(lián)系方式和比特幣賬戶為該公司所有，再由公司尋找目標植入病毒，到手后按比例分成。6月4日，謝某、譚某在廣州落網(wǎng)。

“這類犯罪手法隱蔽，社會危害大，同時也暴露出數(shù)據(jù)解密行業(yè)的亂象?！蹦贤ㄊ泄簿志W(wǎng)安支隊支隊長張建說，近年來，勒索病毒攻擊破壞案件時有發(fā)生，侵害目標多為黨政機關和企事業(yè)單位的重要信息系統(tǒng)，嚴重危害正常辦公秩序和經(jīng)濟運行秩序，甚至有數(shù)據(jù)恢復公司主動與黑客取得聯(lián)系，共同開展攻擊破壞和敲詐勒索，同時借機搶占勒索病毒解密市場，成為勒索病毒蔓延擴散的幫兇。

目前，3名涉案犯罪嫌疑人均因涉嫌敲詐勒索罪被依法執(zhí)行逮捕。

警方提醒

廣大企業(yè)和群眾平時應養(yǎng)成良好的安全文明上網(wǎng)習慣，注重信息安全等級保護，及時更新系統(tǒng)和軟件，安裝正規(guī)的殺毒軟件和防護墻，修補漏洞，同時定期對重要數(shù)據(jù)進行備份。此外，一旦使用的計算機感染了病毒，還需盡快修改支付密碼，以免造成其他財產(chǎn)損失。