python

國內首個比特幣勒索病毒案告破,三年獲利 500 萬

By 超神經

內容提要:近日,全國首個比特幣勒索病毒開發者巨某,被江蘇南通警方成功捕獲。巨某在三年的時間裡,利用網路勒索病毒,已非法獲利超 500 萬元人民幣。

關鍵詞:比特幣勒索病毒 資料恢復

10 月 8 日,據江蘇省南通市當地警方通報,在「淨網 2020」行動中,成功偵破了一起特大網路敲詐案件,3 名犯罪嫌疑人巨某、謝某和譚某落網。

犯罪嫌疑人巨某,作為多個比特幣勒索病毒的製作者,已成功作案百餘起,非法獲取的比特幣摺合人民幣 500 餘萬元。

 

 病毒勒索:想要資料?比特幣來換

近年來,網路勒索病毒十分猖獗,防不勝防。全球各地企業、機構、甚至高校都會遭遇勒索病毒攻擊。

今年 4 月,江蘇省南通市啟東某大型超市收銀系統就遭到了攻擊,系統被駭客植入勒索病毒,因此癱瘓,無法正常運轉。

超市立即進行了報案,南通市公安局與市局網安等部門組成專案組進行偵查。透過資料勘驗,專案組找到一份告知如何解密檔案的全英文留言,要求受害人必須支付 1 比特幣(時價約合人民幣 47000 元)作為破解費用。

駭客勒索留言:若想恢復檔案,就給我錢包裡打 1 個比特幣

此外,網警經對該超市的伺服器進行資料勘驗,發現駭客鎖定的伺服器中所有檔案均被加密,檔案的字尾名都變成了「lucky」,檔案和程式均無法正常執行。而在 C 盤根目錄下有個自動生成的文字文件,留有駭客的比特幣收款地址和郵箱聯絡方式。

超市伺服器資料檔案字尾都變成了「lucky」

隨後,儘管專案組做了大量工作,卻始終沒有進展。線索無處可尋,偵查陷入僵局。

根據南通市公安局網安支隊三大隊副大隊長許平楠介紹,「由於比特幣均透過境外網站交易,追查難度較大,發起攻擊的始作俑者身份往往成謎。」

隨著價格的不斷上漲以及其本身的匿名性

比特幣深受眾多不法分子的青睞

 

 超市求助資料恢復公司,竟成破案線索

就在警方無處下手的時候,案情出現了一絲轉機。

由於超市被鎖伺服器中有重要工作資料,如果格式化則損失巨大。因此,超市工作人員聯絡了一家資料恢復公司,以低於被勒索(1 個比特幣)的價格,委託其解鎖加密檔案。

後來這家資料恢復公司,竟然神奇地對伺服器資料進行了成功解密。

警方獲悉這一情況後,認為其中可能另有隱情。因為,一般來說,勒索病毒入侵電腦,對檔案或系統進行加密,每一個解密器都是根據加密電腦的特徵新生成的,沒有病毒製作者的祕鑰,幾乎不可能完成解密。

專案組成員、啟東市公安局網安支隊民警黃瀟艇分析稱

一般只有向勒索者支付比特幣才能解密

但經過進一步偵查之後,排除了資料恢復公司的嫌疑。

原來該資料恢復公司之所以能夠恢復資料,是因為他們透過郵箱與駭客取得聯絡,並支付 0.5 比特幣獲取瞭解鎖工具,從而完成任務,賺取差價。

專案組透過資料恢復公司而獲取的新線索,以及深度研判分析,成功鎖定犯罪嫌疑人的真實身份為巨某,至此案件偵破工作終於取得重大進展。

5 月 7 日,專案組在山東威海將巨某抓獲歸案,並在其居住地查獲作案用的電腦。在巨某的電腦中,民警找到了相關郵件記錄、比特幣交易記錄以及相關勒索病毒工具的原始碼。

證據面前,巨某(右二)對自己的罪行供認不諱

巨某交代稱,他開發了一款網站漏洞掃描軟體,在獲得相關控制權限後,就針對性植入勒索病毒。為避免破解和逃避公安機關的追查,巨某相繼開發升級了 4 種勒索病毒,索要難以追查的比特幣作為贖金,使用的都是境外網盤和郵箱。

在江蘇警方抓獲犯罪嫌疑人前,巨某已經向 400 多家網站和計算機系統植入敲詐勒索病毒,受害單位覆蓋 20 多個省份,涉及企業、醫療、金融等多個行業。

其中,蘇州的一家上市公司,因為勒索病毒破壞了其相關工作使用的資料庫檔案,導致整個生產系統無法正常執行,直接停工三天,造成了巨大的經濟損失。

 

 自學達人,卻走上犯罪道路

這位巨某,可以說是被敲詐勒索「事業」耽誤了的自學達人。

據瞭解,巨某生於內蒙古赤峰,今年 36 歲。他自幼就喜好並自學計算機知識,精通程式設計、網站攻防等技術。

之後,他成立了工作室,利用自己開發的軟體炒股。起初還賺了不少,可最後以虧損 300 多萬元而告終。

債臺高築的巨某,偶然的一次機會得知了用勒索病毒敲詐的發財門路,於是走上了開發病毒程式之路。

從 2017 年下半年開始,巨某一直都在研究「撒旦」等勒索病毒,以及漏洞利用程式「永恆之藍」,並編寫了「satan_pro」病毒程式用於作案。

2018 年就曾有中了該病毒的客戶請求資料解密公司解密,其勒索留言如下:

據巨某交代,為避免破解和逃避公安機關的追查,他在「satan_pro」之後,又陸續升級開發了「nmare」、「evopro」、「svmst」和「5ss5c」4 款勒索病毒,江蘇南通受攻擊的超市收銀系統,就是被植入了「nmare」病毒。

除了索要難以追查的比特幣作為贖金,巨某還透過境外的網盤和郵箱將解密軟體傳送給受害人,並經常更換,到手的比特幣也都是透過境外網站交易。

對於巨某來說,自己天衣無縫的計劃堪稱「完美犯罪」,但終究沒能逃過警方的偵查。在作案期間,與他合作的一家資料恢復公司經營者謝某、譚某,也均因涉嫌敲詐勒索罪被逮捕。

不知道這位巨某如今身陷囹圄,會作何感想。如果他利用所學知識,做一名網路安全工程師,人生歷程就完全不同了。

或許在未來的某一天裡,鐵窗裡的他還會想起很多年前,敲下第一行程式碼時振奮、純粹的自己。

新聞來源:

新浪財經:《全國首個比特幣勒索病毒製作者落網:曾迫使一上市公司停工3天》

南通公安微信公眾號:《全國首個比特幣勒索病毒製作者落網!南通破獲特大製作使用病毒實施敲詐勒索案》

—— 完 ——

 

 

 

 

 

本文章已修改原文用詞符合繁體字使用者習慣使其容易閱讀

版權宣告:此處為CSDN博主「HyperAI超神經」的原創文章,依據CC 4.0 BY-SA版權協議,轉載請附上原文出處連結及本宣告。

原文連結:https://blog.csdn.net/HyperAI/article/details/109088809