當前,網上各類新型勒索病毒層出不窮,一些企業、金融機構甚至政府網站遭到攻擊,犯罪嫌疑人索要贖金只認比特幣,以逃避警方追查。在“淨網2020”專項行動中,南通、啟東兩級公安機關聯手,日前成功偵破一起由公安部督辦的特大製作、使用勒索病毒破壞計算機信息系統,從而實施網絡敲詐勒索的案件,抓獲巨某、謝某、譚某等3名犯罪嫌疑人,其中巨某系多個比特幣勒索病毒的製作者。
據悉,這是全國公安機關抓獲的首名比特幣勒索病毒的製作者。截至案發,巨某已成功作案百餘起,非法獲利的比特幣摺合人民幣500餘萬元。
▲數據恢復公司員工筆記
收銀系統被黑,超市遭網絡勒索
今年4月,啟東某大型超市的收銀系統遭到攻擊,被黑客植入勒索病毒,造成系統癱瘓無法正常運轉。接到報案後,南通市公安局成立由啟東公安和市局網安、法制等部門組成的專案組,開展破案攻堅。
“通過數據勘驗,我們找到一個如何解密文件的全英文留言,要求受害人必須支付1比特幣作為破解費用。”網絡攻防專家、南通市公安局網安支隊三大隊副大隊長許平楠說,經對該超市的服務器進行數據勘驗,發現黑客鎖定的服務器中所有文件均被加密,文件的後綴名都變成了“lucky”,文件和程序均無法正常運行,而在C盤根目錄下有個自動生成的文本文檔,留有黑客的比特幣收款地址和郵箱聯繫方式。
“這是一起典型的使用勒索病毒破壞計算機信息系統,從而實施網絡敲詐勒索的案件。”許平楠說,近年來,比特幣勒索病毒攻擊在全國乃至全球範圍內整體呈上升趨勢,令人深惡痛絕,但發起每次攻擊的始作俑者身份始終成謎。對這起案件,儘管專案組做了大量工作,但始終沒有絲毫進展,偵查陷入僵局。
警方順藤摸瓜,病毒製作者落網
案件偵查過程中,受害超市負責人反映,由於被鎖服務器中有重要工作數據,格式化將帶來巨大損失,於是聯繫了外地一家數據恢復公司,以更低價格委託解鎖加密文件,後來這家公司成功地對服務器數據進行了解密。“一般來說,沒有病毒製作者的解密工具,其他人是無法完成解密的。”專案組成員、啟東市公安局網安支隊民警黃瀟艇說,勒索病毒入侵電腦,對文件或系統進行加密,每一個解密器都是根據加密電腦的特徵新生成的,只有按要求支付比特幣才能解開。
獲悉這一情況,專案組判斷,其中定有隱情。經過走訪調查,這家數據恢復公司的負責人吐露實情,原來他們通過郵箱直接與黑客取得聯繫,最終花了0.5比特幣的代價得到解鎖工具,從而順利完成任務,賺取差價。
專案組通過相關記錄,深度研判分析,排除了數據恢復公司的作案嫌疑,成功鎖定犯罪嫌疑人的真實身份為巨某,案件偵破工作取得重大進展。
5月7日,專案組在山東威海將巨某抓獲歸案,並在其居住地查獲作案用的電腦。民警在其電腦中還找到相關郵件記錄、比特幣交易記錄以及相關勒索病毒工具的源代碼。
自認完美犯罪,贖金只認比特幣
經查,巨某今年36歲,內蒙古赤峰人,自幼喜好並自學鑽研計算機知識,精通編程、網站攻防等技術,後成立工作室,利用自己開發的軟件炒股,起初賺了不少錢,後虧損300多萬元。
2017年下半年的某天,債臺高築的巨某偶然間得知,有黑客用勒索病毒將他人電腦文件加密鎖定後敲詐錢財,於是靈機一動,嘗試開發病毒程序,通過研究“永恆之藍”工具以及“撒旦”等勒索病毒,巨某編寫了“satan_pro”病毒程序用於作案。“被植入病毒的服務器中,所有的數據庫文件、文檔都會被加密,只有通過郵箱聯繫我,支付比特幣,我才會把解鎖工具發給對方。”巨某交代,自己開發了一款網站漏洞掃描軟件,在獲得相關控制權限後,就有針對性地在一些服務器植入勒索病毒。
為避免破解和逃避公安機關的追查,巨某又陸續升級開發了“nmare“evopro”“svmst”“5ss5c”等4款勒索病毒,除了索要難以追查的比特幣作為贖金,還通過境外的網盤和郵箱將解密軟件發送給受害人,並經常更換,到手的比特幣也都是通過境外網站交易。
儘管巨某機關算盡,自認為犯罪行為天衣無縫,是“完美犯罪”,最終還是沒能逃出辦案民警的法眼。
社會危害嚴重,行業亂象不容忽視
經大量工作,專案組查明,巨某先後向400多家網站和計算機系統植入敲詐勒索病毒,受害單位涉及企業、醫療、金融等行業,啟東這家超市收銀系統即是被植入“nmare”病毒。在相關案件中,蘇州某上市科技公司的系統被巨某植入病毒,導致停產停工3天,損失巨大。
期間,數家數據恢復公司主動聯繫巨某尋求合作。最終,巨某與謝某、譚某經營的一家數據恢復公司談妥,由巨某編程,病毒中的聯繫方式和比特幣賬戶為該公司所有,再由公司尋找目標植入病毒,到手後按比例分成。6月4日,謝某、譚某在廣州落網。
“這類犯罪手法隱蔽,社會危害大,同時也暴露出數據解密行業的亂象。”南通市公安局網安支隊支隊長張建說,近年來,勒索病毒攻擊破壞案件時有發生,侵害目標多為黨政機關和企事業單位的重要信息系統,嚴重危害正常辦公秩序和經濟運行秩序,甚至有數據恢復公司主動與黑客取得聯繫,共同開展攻擊破壞和敲詐勒索,同時藉機搶佔勒索病毒解密市場,成為勒索病毒蔓延擴散的幫兇。
目前,3名涉案犯罪嫌疑人均因涉嫌敲詐勒索罪被依法執行逮捕。
警方提醒
廣大企業和群眾平時應養成良好的安全文明上網習慣,注重信息安全等級保護,及時更新系統和軟件,安裝正規的殺毒軟件和防護牆,修補漏洞,同時定期對重要數據進行備份。此外,一旦使用的計算機感染了病毒,還需儘快修改支付密碼,以免造成其他財產損失。
通訊員 蘇錦安 交匯點記者 於英傑
編輯: 於英傑
歡迎登錄安全客 -有思想的安全新媒體www.anquanke.com/加入交流群113129131 獲取更多最新資訊
原文鏈接:https://www.anquanke.com/post/id/219123
