炒股虧損300多萬(wàn)，他制作勒索病毒索要比特幣，作案百余起后落網(wǎng)

據(jù)南通公安通報(bào)，在“凈網(wǎng)2020”專項(xiàng)行動(dòng)中，南通、啟東兩級(jí)公安機(jī)關(guān)聯(lián)手，成功偵破一起由公安部督辦的特大制作、使用勒索病毒破壞計(jì)算機(jī)信息系統(tǒng)從而實(shí)施網(wǎng)絡(luò)敲詐勒索的案件，抓獲巨某、謝某、譚某等3名犯罪嫌疑人，其中巨某系多個(gè)比特幣勒索病毒的制作者。這是全國(guó)公安機(jī)關(guān)抓獲的首名比特幣勒索病毒的制作者。

截至案發(fā)，巨某已成功作案百余起，非法獲利的比特幣折合人民幣500余萬(wàn)元。

丨收銀系統(tǒng)被黑，超市遭網(wǎng)絡(luò)勒索

今年4月，啟東某大型超市的收銀系統(tǒng)遭到攻擊，被黑客植入勒索病毒，造成系統(tǒng)癱瘓無(wú)法正常運(yùn)轉(zhuǎn)。接到報(bào)案后，南通市公安局成立由啟東、網(wǎng)安、法制等組成的專案組，開(kāi)展破案攻堅(jiān)。

“通過(guò)數(shù)據(jù)勘驗(yàn)，我們找到一個(gè)如何解密文件的全英文留言，要求受害人必須支付1比特幣作為破解費(fèi)用。”網(wǎng)絡(luò)攻防專家、南通市公安局網(wǎng)安支隊(duì)三大隊(duì)副大隊(duì)長(zhǎng)許平楠說(shuō)，經(jīng)對(duì)該超市的服務(wù)器進(jìn)行數(shù)據(jù)勘驗(yàn)，發(fā)現(xiàn)黑客鎖定的服務(wù)器中所有文件均被加密，文件的后綴名都變成了“l(fā)ucky”，文件和程序均無(wú)法正常運(yùn)行，而在C盤(pán)根目錄下有個(gè)自動(dòng)生成的文本文檔，留有黑客的比特幣收款地址和郵箱聯(lián)系方式。

“這是一起典型的使用勒索病毒破壞計(jì)算機(jī)信息系統(tǒng)從而實(shí)施網(wǎng)絡(luò)敲詐勒索的案件。”許平楠說(shuō)，近年來(lái)，比特幣勒索病毒攻擊在全國(guó)乃至全球范圍內(nèi)整體呈上升趨勢(shì)，令人深惡痛絕，但發(fā)起每次攻擊的始作俑者身份始終成謎。對(duì)這起案件，盡管專案組做了大量工作，但始終沒(méi)有絲毫進(jìn)展，偵查陷入僵局。

丨超市求助數(shù)據(jù)恢復(fù)公司，竟成破案線索

案件偵查過(guò)程中，受害超市負(fù)責(zé)人反映，由于被鎖服務(wù)器中有重要工作數(shù)據(jù)，格式化將帶來(lái)巨大損失，其聯(lián)系了外地一家數(shù)據(jù)恢復(fù)公司，以更低的價(jià)格委托解鎖加密文件，后對(duì)方成功對(duì)服務(wù)器數(shù)據(jù)進(jìn)行了解密。

“一般來(lái)說(shuō)，沒(méi)有病毒制作者的解密工具，其他人是無(wú)法完成解密的。”專案組成員、啟東市公安局網(wǎng)安支隊(duì)民警黃瀟艇說(shuō)，勒索病毒入侵電腦，對(duì)文件或系統(tǒng)進(jìn)行加密，每一個(gè)解密器都是根據(jù)加密電腦的特征新生成的，只有按要求支付比特幣才能解開(kāi)。

獲悉這一情況，專案組判斷，其中定有隱情。經(jīng)過(guò)走訪調(diào)查，這家數(shù)據(jù)恢復(fù)公司的負(fù)責(zé)人吐露實(shí)情，原來(lái)他們通過(guò)郵箱直接與黑客取得聯(lián)系，最終花了0.5比特幣的代價(jià)得到解鎖工具，從而順利完成任務(wù)，賺取差價(jià)。

專案組通過(guò)相關(guān)記錄，深度研判分析，不僅排除了數(shù)據(jù)恢復(fù)公司的作案嫌疑，還成功鎖定犯罪嫌疑人的真實(shí)身份為巨某，案件偵破工作取得重大進(jìn)展。

5月7日，專案組在山東威海將巨某抓獲歸案，并在其居住地查獲作案用的電腦。民警在其電腦中還找到相關(guān)郵件記錄、比特幣交易記錄以及相關(guān)勒索病毒工具的源代碼。

丨炒股虧損300多萬(wàn)元，債臺(tái)高筑走上犯罪道路

經(jīng)查，巨某今年36歲，內(nèi)蒙古赤峰人，自幼喜好并自學(xué)鉆研計(jì)算機(jī)知識(shí)，精通編程、網(wǎng)站攻防等技術(shù)，后成立工作室，利用自己開(kāi)發(fā)的軟件炒股，起初賺了不少錢(qián)，后虧損300多萬(wàn)元。2017年下半年的某天，債臺(tái)高筑的巨某偶然間得知有黑客用勒索病毒將他人電腦文件加密鎖定后敲詐錢(qián)財(cái)，于是靈機(jī)一動(dòng)，嘗試開(kāi)發(fā)病毒程序，通過(guò)研究“永恒之藍(lán)”工具以及“撒旦”等勒索病毒，巨某編寫(xiě)了“satan_pro”病毒程序，用于作案。

“被植入病毒的服務(wù)器中，所有的數(shù)據(jù)庫(kù)文件、文檔都會(huì)被加密，只有通過(guò)郵箱聯(lián)系我，支付比特幣，我才會(huì)把解鎖工具發(fā)給對(duì)方。”巨某交代稱，自己開(kāi)發(fā)了一款網(wǎng)站漏洞掃描軟件，在獲得相關(guān)控制權(quán)限后，就有針對(duì)性地在一些服務(wù)器植入勒索病毒。

為避免破解和逃避公安機(jī)關(guān)的追查，巨某又陸續(xù)升級(jí)開(kāi)發(fā)了“nmare”“evopro”“svmst”“5ss5c”等4款勒索病毒，除了索要難以追查的比特幣作為贖金，他還通過(guò)境外的網(wǎng)盤(pán)和郵箱將解密軟件發(fā)送給受害人，并經(jīng)常更換，到手的比特幣也都是通過(guò)境外網(wǎng)站交易。盡管巨某機(jī)關(guān)算盡，自認(rèn)為犯罪行為天衣無(wú)縫，最終還是沒(méi)能逃出辦案民警的法眼。

經(jīng)大量工作，專案組查明，巨某先后向400多家網(wǎng)站和計(jì)算機(jī)系統(tǒng)植入敲詐勒索病毒，受害單位涉及企業(yè)、醫(yī)療、金融等行業(yè)，啟東這家超市收銀系統(tǒng)即是被植入了“nmare”病毒。案件中，蘇州某上市科技公司的系統(tǒng)被巨某植入病毒，導(dǎo)致停產(chǎn)停工三天，損失巨大。

期間，數(shù)家數(shù)據(jù)恢復(fù)公司主動(dòng)聯(lián)系巨某尋求合作，最終，巨某與謝某、譚某經(jīng)營(yíng)的一家數(shù)據(jù)恢復(fù)公司談妥，由巨某編程，病毒中的聯(lián)系方式和比特幣賬戶為該公司所有，再由公司尋找目標(biāo)植入病毒，到手后按比例分成。6月4日，謝某、譚某在廣州落網(wǎng)。

“犯罪手法隱蔽，社會(huì)危害大，同時(shí)也暴露出數(shù)據(jù)解密行業(yè)的亂象。”南通市公安局網(wǎng)安支隊(duì)支隊(duì)長(zhǎng)張建說(shuō)，近年來(lái)，勒索病毒攻擊破壞案件時(shí)有發(fā)生，侵害目標(biāo)多為黨政機(jī)關(guān)和企事業(yè)單位的重要信息系統(tǒng)，嚴(yán)重危害正常辦公秩序和經(jīng)濟(jì)運(yùn)行秩序，甚至有數(shù)據(jù)恢復(fù)公司主動(dòng)與黑客取得聯(lián)系，共同開(kāi)展攻擊破壞和敲詐勒索，同時(shí)借機(jī)搶占勒索病毒解密市場(chǎng)，成為勒索病毒蔓延擴(kuò)散的幫兇。

目前，3名涉案犯罪嫌疑人均因涉嫌敲詐勒索罪被執(zhí)行逮捕。【責(zé)任編輯/李小可】

來(lái)源：每日經(jīng)濟(jì)新聞

IT時(shí)代網(wǎng)(關(guān)注微信公眾號(hào)ITtime2000，定時(shí)推送，互動(dòng)有福利驚喜)所有原創(chuàng)文章版權(quán)所有，未經(jīng)授權(quán)，轉(zhuǎn)載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年，直通硅谷，專注于TMT領(lǐng)域早期項(xiàng)目投資。LP均來(lái)自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個(gè)人。創(chuàng)客100創(chuàng)投基金對(duì)IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨(dú)特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點(diǎn)。

相關(guān)文章

炒股虧損300多萬(wàn)，他制作勒索病毒索要比特幣，作案百余起后落網(wǎng)

【觀點(diǎn)】迷戀比特幣的區(qū)塊鏈依然稚嫩

發(fā)布詐騙廣告，“比特幣世紀(jì)騙局”17歲嫌犯被捕

比特幣成“貨幣” 美國(guó)有可能借此割全球“韭菜”嗎？