近日,江苏省南通市公安局对外通报,在“净网”专项行动中,南通、启东两级公安机关联手侦破一起由公安部督办的特大制作、使用勒索病毒破坏计算机信息系统从而实施网络敲诈勒索的案件,抓获巨某、谢某、谭某等犯罪嫌疑人3名,其中巨某系多个比特币勒索病毒的制作者。截至案发,巨某已作案百余起,非法获利的比特币折合人民币余万元。
收银系统被黑超市遭网络勒索
今年4月,启东某大型超市的收银系统遭到网络攻击,被黑客植入勒索病毒,造成系统瘫痪无法正常运转。接到报案后,南通市公安局成立由网安、法制和启东市公安局等部门组成的专案组,全力开展案件攻坚。
“我们找到一个如何解密文件的全英文留言,要求受害人必须支付1比特币作为破解费用。”南通市公安局网安支队三大队副大队长许平楠说,经对该超市的服务器进行数据勘验,发现黑客锁定的服务器中所有文件均被加密,文件的后缀名都变成了“lucky”,文件和程序均无法正常运行,而在C盘根目录下有个自动生成的文本文档,留有黑客的比特币收款地址和邮箱联系方式。
“这是一起典型的使用勒索病毒破坏计算机信息系统从而实施网络敲诈勒索的案件。”许平楠告诉记者,近年来,比特币勒索病毒攻击在全国乃至全球范围内整体呈上升趋势,令人深恶痛绝,但发起每次攻击的始作俑者身份始终是个谜。对这起案件,尽管专案组做了大量工作,但始终没有丝毫进展,侦查工作一度陷入僵局。
警方顺藤摸瓜病毒制作者落网
案件侦查过程中,受害超市负责人反映,由于被锁服务器中有重要工作数据,格式化将带来巨大损失,其联系了一家数据恢复公司,以更低的价格委托解锁加密文件,后对方成功对服务器数据进行了解密。
“一般来说,没有病毒制作者的解密工具,其他人是无法完成解密的。”专案组成员、启东市公安局网安支队民警黄潇艇说,勒索病毒入侵电脑,对文件或系统进行加密,每一个解密器都是根据加密电脑的特征新生成的,只有按要求支付比特币才能解开。
获悉这一情况后,专案组判断,其中定有隐情。经过走访调查,这家数据恢复公司的负责人吐露了实情,原来他们通过邮箱直接与黑客取得联系,最终花了0.5比特币的代价得到解锁工具,从而顺利完成任务,赚取差价。
专案组通过相关记录,深度研判分析,不仅排除了数据恢复公司的作案嫌疑,还成功锁定犯罪嫌疑人的真实身份为巨某,案件侦破工作取得重大进展。
5月7日,专案组在山东威海将巨某抓获归案,并在其居住地查获作案用的电脑。民警在其电脑中还找到相关邮件记录、比特币交易记录以及相关勒索病毒工具的源代码。
赎金只认比特币自认天衣无缝
经查,巨某今年36岁,自幼喜好并自学钻研计算机知识,精通编程、网站攻防等技术,后成立工作室,利用自己开发的软件炒股,亏损余万元。年下半年,债台高筑的巨某得知有黑客利用勒索病毒将他人电脑文件加密锁定后敲诈钱财,于是灵机一动,尝试开发编写病毒程序用于作案。
“被植入病毒的服务器中,所有的数据库文件、文档都会被加密,只有通过邮箱联系我支付比特币,我才会把解锁工具发给对方。”巨某交代称,自己开发了一款网站漏洞扫描软件,在获得相关控制权限后,就有针对性地在一些服务器植入勒索病毒。
为避免被破解,逃避公安机关的追查,巨某又陆续升级开发了4款勒索病毒,除了索要难以追查的比特币作为赎金,还通过境外的网盘和邮箱将解密软件发送给受害人,到手的比特币也都是通过境外网站进行交易。尽管巨某自认为天衣无缝,最终还是没能逃出办案民警的法眼。
社会危害严重行业乱象不容忽视
经大量工作,专案组查明,巨某先后向余家网站和计算机系统植入敲诈勒索病毒,受害单位涉及企业、医疗、金融等众多行业。期间,数家数据恢复公司主动联系巨某寻求合作,最终巨某与谢某、谭某经营的一家数据恢复公司谈妥,由巨某编程,病毒中的联系方式和比特币账户为该公司所有,再由公司寻找目标植入病毒,到手后按比例分成。6月4日,谢某、谭某在广东广州落网。
“此案件的犯罪手法十分隐蔽,社会危害性大,同时也暴露出数据解密行业的乱象。”南通市公安局网安支队支队长张建说,近年来,勒索病毒攻击破坏案件时有发生,侵害目标多为党政机关和企事业单位的重要信息系统,严重危害正常办公秩序和经济运行秩序,甚至有数据恢复公司主动与黑客取得联系,共同开展攻击破坏和敲诈勒索,同时借机抢占勒索病毒解密市场,成为勒索病毒蔓延扩散的帮凶。
目前,3名涉案犯罪嫌疑人已被检察机关依法执行逮捕。
作案过程
●黑客制作勒索病毒软件
↓↓
●寻找存在系统漏洞的网站
↓↓
●对服务器植入勒索病毒
↓↓
●留下比特币的收款地址
↓↓
●受害者支付比特币赎金
↓↓
●黑客发布解密软件解锁
社会危害
●近年来,勒索病毒攻击时有发生,侵害目标多为党政机关和企事业单位的重要信息系统,甚至有数据恢复公司与黑客共同开展攻击破坏和敲诈勒索,严重危害正常办公秩序和经济运行秩序
警方提醒
●广大企业和群众应养成良好的上网习惯,注重信息安全等级保护,及时更新系统和软件,安装正规的杀毒软件和防火墙,修补漏洞,同时定期对重要数据进行备份,一旦使用的计算机感染了病毒,还需尽快修改支付密码,以免造成其他财产损失
转载请注明:http://www.wangguoqiangq.com/sglbmj/12221.html
