国内首个比特币勒索病毒制作者落网:自学钻研计算机知识,涉案500余万元
科技

国内首个比特币勒索病毒制作者落网:自学钻研计算机知识,涉案500余万元

2020年10月18日 10:09:13
来源:IT之家

IT之家 10 月 18 日消息 在 “净网 2020”专项行动中,江苏南通警方成功侦破一起使用勒索病毒实施网络敲诈勒索的案件,在山东威海市抓获比特币勒索病毒制作者。这是国内抓获的首名比特币勒索病毒制作者,截至案发,其已作案百余起,非法获利折合人民币 500 余万。另外,警方同时抓获了参与作案的两个嫌疑人。

据南通公安微信公众号消息,今年 4 月,启东某大型超市的收银系统遭到攻击,被黑客植入勒索病毒,造成系统瘫痪无法正常运转。接到报案后,南通市公安局成立由启东公安和市局网安、法制等部门组成的专案组,开展破案攻坚。

网络攻防专家、南通市公安局网安支队三大队副大队长许平楠说,经对该超市的服务器进行数据勘验,发现黑客锁定的服务器中所有文件均被加密,文件的后缀名都变成了 “lucky”,文件和程序均无法正常运行,而在C盘根目录下有个自动生成的文本文档,留有黑客的比特币收款地址和邮箱联系方式,要求受害人必须支付 1 比特币作为破解费用。

案件侦查过程中,受害超市负责人反映,由于被锁服务器中有重要工作数据,格式化将带来巨大损失,于是联系了外地一家数据恢复公司,以更低价格委托解锁加密文件,后来这家公司成功地对服务器数据进行了解密。“一般来说,没有病毒制作者的解密工具,其他人是无法完成解密的。”专案组成员、启东市公安局网安支队民警黄潇艇说,勒索病毒入侵电脑,对文件或系统进行加密,每一个解密器都是根据加密电脑的特征新生成的,只有按要求支付比特币才能解开。

获悉这一情况,专案组判断,其中定有隐情。经过走访调查,这家数据恢复公司的负责人吐露实情,原来他们通过邮箱直接与黑客取得联系,最终花了 0.5 比特币的代价得到解锁工具,从而顺利完成任务,赚取差价。

专案组通过相关记录,深度研判分析,排除了数据恢复公司的作案嫌疑,成功锁定犯罪嫌疑人的真实身份为巨某,案件侦破工作取得重大进展。

5 月 7 日,专案组在山东威海将巨某抓获归案,并在其居住地查获作案用的电脑。民警在其电脑中还找到相关邮件记录、比特币交易记录以及相关勒索病毒工具的源代码。

经查,巨某今年 36 岁,内蒙古赤峰人,自幼喜好并自学钻研计算机知识,精通编程、网站攻防等技术,后成立工作室,利用自己开发的软件炒股,起初赚了不少钱,后亏损 300 多万元。2017 年下半年的某天,债台高筑的巨某偶然间得知,有黑客用勒索病毒将他人电脑文件加密锁定后敲诈钱财,于是灵机一动,尝试开发病毒程序,通过研究 “永恒之蓝”工具以及 “撒旦”等勒索病毒,巨某编写了 “satan_pro”病毒程序用于作案。“被植入病毒的服务器中,所有的数据库文件、文档都会被加密,只有通过邮箱联系我,支付比特币,我才会把解锁工具发给对方。”巨某交代,自己开发了一款网站漏洞扫描软件,在获得相关控制权限后,就有针对性地在一些服务器植入勒索病毒。

为避免破解和逃避公安机关的追查,巨某又陆续升级开发了 “nmare”“evopro”“svmst”“5ss5c”等 4 款勒索病毒,除了索要难以追查的比特币作为赎金,还通过境外的网盘和邮箱将解密软件发送给受害人,并经常更换,到手的比特币也都是通过境外网站交易。

专案组查明,巨某先后向 400 多家网站和计算机系统植入敲诈勒索病毒,受害单位涉及企业、医疗、金融等行业,启东这家超市收银系统即是被植入 “nmare”病毒。在相关案件中,苏州某上市科技公司的系统被巨某植入病毒,导致停产停工 3 天,损失巨大。

期间,数家数据恢复公司主动联系巨某寻求合作。最终,巨某与谢某、谭某经营的一家数据恢复公司谈妥,由巨某编程,病毒中的联系方式和比特币账户为该公司所有,再由公司寻找目标植入病毒,到手后按比例分成。6 月 4 日,谢某、谭某在广州落网。

IT之家了解到,目前3 名涉案犯罪嫌疑人均因涉嫌敲诈勒索罪被依法执行逮捕。