By 超神经
内容提要:近日,全国首个比特币勒索病毒开发者巨某,被江苏南通警方成功捕获。巨某在三年的时间里,利用网络勒索病毒,已非法获利超 500 万元人民币。
关键词:比特币勒索病毒 数据恢复
10 月 8 日,据江苏省南通市当地警方通报,在「净网 2020」行动中,成功侦破了一起特大网络敲诈案件,3 名犯罪嫌疑人巨某、谢某和谭某落网。
犯罪嫌疑人巨某,作为多个比特币勒索病毒的制作者,已成功作案百余起,非法获取的比特币折合人民币 500 余万元。
病毒勒索:想要数据?比特币来换
近年来,网络勒索病毒十分猖獗,防不胜防。全球各地企业、机构、甚至高校都会遭遇勒索病毒攻击。
今年 4 月,江苏省南通市启东某大型超市收银系统就遭到了攻击,系统被黑客植入勒索病毒,因此瘫痪,无法正常运转。
超市立即进行了报案,南通市公安局与市局网安等部门组成专案组进行侦查。通过数据勘验,专案组找到一份告知如何解密文件的全英文留言,要求受害人必须支付 1 比特币(时价约合人民币 47000 元)作为破解费用。
黑客勒索留言:若想恢复文件,就给我钱包里打 1 个比特币
此外,网警经对该超市的服务器进行数据勘验,发现黑客锁定的服务器中所有文件均被加密,文件的后缀名都变成了「lucky」,文件和程序均无法正常运行。而在 C 盘根目录下有个自动生成的文本文档,留有黑客的比特币收款地址和邮箱联系方式。
超市服务器数据文件后缀都变成了「lucky」
随后,尽管专案组做了大量工作,却始终没有进展。线索无处可寻,侦查陷入僵局。
根据南通市公安局网安支队三大队副大队长许平楠介绍,「由于比特币均通过境外网站交易,追查难度较大,发起攻击的始作俑者身份往往成谜。」
随着价格的不断上涨以及其本身的匿名性
比特币深受众多不法分子的青睐
超市求助数据恢复公司,竟成破案线索
就在警方无处下手的时候,案情出现了一丝转机。
由于超市被锁服务器中有重要工作数据,如果格式化则损失巨大。因此,超市工作人员联系了一家数据恢复公司,以低于被勒索(1 个比特币)的价格,委托其解锁加密文件。
后来这家数据恢复公司,竟然神奇地对服务器数据进行了成功解密。
警方获悉这一情况后,认为其中可能另有隐情。因为,一般来说,勒索病毒入侵电脑,对文件或系统进行加密,每一个解密器都是根据加密电脑的特征新生成的,没有病毒制作者的秘钥,几乎不可能完成解密。
专案组成员、启东市公安局网安支队民警黄潇艇分析称
一般只有向勒索者支付比特币才能解密
但经过进一步侦查之后,排除了数据恢复公司的嫌疑。
原来该数据恢复公司之所以能够恢复数据,是因为他们通过邮箱与黑客取得联系,并支付 0.5 比特币获取了解锁工具,从而完成任务,赚取差价。
专案组通过数据恢复公司而获取的新线索,以及深度研判分析,成功锁定犯罪嫌疑人的真实身份为巨某,至此案件侦破工作终于取得重大进展。
5 月 7 日,专案组在山东威海将巨某抓获归案,并在其居住地查获作案用的电脑。在巨某的电脑中,民警找到了相关邮件记录、比特币交易记录以及相关勒索病毒工具的源代码。
证据面前,巨某(右二)对自己的罪行供认不讳
巨某交代称,他开发了一款网站漏洞扫描软件,在获得相关控制权限后,就针对性植入勒索病毒。为避免破解和逃避公安机关的追查,巨某相继开发升级了 4 种勒索病毒,索要难以追查的比特币作为赎金,使用的都是境外网盘和邮箱。
在江苏警方抓获犯罪嫌疑人前,巨某已经向 400 多家网站和计算机系统植入敲诈勒索病毒,受害单位覆盖 20 多个省份,涉及企业、医疗、金融等多个行业。
其中,苏州的一家上市公司,因为勒索病毒破坏了其相关工作使用的数据库文件,导致整个生产系统无法正常运行,直接停工三天,造成了巨大的经济损失。
自学达人,却走上犯罪道路
这位巨某,可以说是被敲诈勒索「事业」耽误了的自学达人。
据了解,巨某生于内蒙古赤峰,今年 36 岁。他自幼就喜好并自学计算机知识,精通编程、网站攻防等技术。
之后,他成立了工作室,利用自己开发的软件炒股。起初还赚了不少,可最后以亏损 300 多万元而告终。
债台高筑的巨某,偶然的一次机会得知了用勒索病毒敲诈的发财门路,于是走上了开发病毒程序之路。
从 2017 年下半年开始,巨某一直都在研究「撒旦」等勒索病毒,以及漏洞利用程序「永恒之蓝」,并编写了「satan_pro」病毒程序用于作案。
2018 年就曾有中了该病毒的客户请求数据解密公司解密,其勒索留言如下:
据巨某交代,为避免破解和逃避公安机关的追查,他在「satan_pro」之后,又陆续升级开发了「nmare」、「evopro」、「svmst」和「5ss5c」4 款勒索病毒,江苏南通受攻击的超市收银系统,就是被植入了「nmare」病毒。
除了索要难以追查的比特币作为赎金,巨某还通过境外的网盘和邮箱将解密软件发送给受害人,并经常更换,到手的比特币也都是通过境外网站交易。
对于巨某来说,自己天衣无缝的计划堪称「完美犯罪」,但终究没能逃过警方的侦查。在作案期间,与他合作的一家数据恢复公司经营者谢某、谭某,也均因涉嫌敲诈勒索罪被逮捕。
不知道这位巨某如今身陷囹圄,会作何感想。如果他利用所学知识,做一名网络安全工程师,人生历程就完全不同了。
或许在未来的某一天里,铁窗里的他还会想起很多年前,敲下第一行代码时振奋、纯粹的自己。
新闻来源:
新浪财经:《全国首个比特币勒索病毒制作者落网:曾迫使一上市公司停工3天》
南通公安微信公众号:《全国首个比特币勒索病毒制作者落网!南通破获特大制作使用病毒实施敲诈勒索案》
—— 完 ——