比特幣病毒勒索案例(國內首個比特幣勒索病毒制作者落網:涉案500余萬元)

IT之家 10 月 18 日消息 在 “凈網 2020”專項行動中，江蘇南通警方成功偵破一起使用勒索病毒實施網絡敲詐勒索的案件，在山東威海市抓獲比特幣勒索病毒制作者。這是國內抓獲的首名比特幣勒索病毒制作者，截至案發，其已作案百余起，非法獲利折合人民幣 500 余萬。另外，警方同時抓獲了參與作案的兩個嫌疑人。

據南通公安微信公眾號消息，今年 4 月，啟東某大型超市的收銀系統遭到攻擊，被黑客植入勒索病毒，造成系統癱瘓無法正常運轉。接到報案后，南通市公安局成立由啟東公安和市局網安、法制等部門組成的專案組，開展破案攻堅。

網絡攻防專家、南通市公安局網安支隊三大隊副大隊長許平楠說，經對該超市的服務器進行數據勘驗，發現黑客鎖定的服務器中所有文件均被加密，文件的后綴名都變成了 “lucky”，文件和程序均無法正常運行，而在C盤根目錄下有個自動生成的文本文檔，留有黑客的比特幣收款地址和郵箱聯系方式，要求受害人必須支付 1 比特幣作為破解費用。

案件偵查過程中，受害超市負責人反映，由于被鎖服務器中有重要工作數據，格式化將帶來巨大損失，于是聯系了外地一家數據恢復公司，以更低價格委托解鎖加密文件，后來這家公司成功地對服務器數據進行了解密。“一般來說，沒有病毒制作者的解密工具，其他人是無法完成解密的。”專案組成員、啟東市公安局網安支隊民警黃瀟艇說，勒索病毒入侵電腦，對文件或系統進行加密，每一個解密器都是根據加密電腦的特征新生成的，只有按要求支付比特幣才能解開。

獲悉這一情況，專案組判斷，其中定有隱情。經過走訪調查，這家數據恢復公司的負責人吐露實情，原來他們通過郵箱直接與黑客取得聯系，最終花了 0.5 比特幣的代價得到解鎖工具，從而順利完成任務，賺取差價。

專案組通過相關記錄，深度研判分析，排除了數據恢復公司的作案嫌疑，成功鎖定犯罪嫌疑人的真實身份為巨某，案件偵破工作取得重大進展。

5 月 7 日，專案組在山東威海將巨某抓獲歸案，并在其居住地查獲作案用的電腦。民警在其電腦中還找到相關郵件記錄、比特幣交易記錄以及相關勒索病毒工具的源代碼。

經查，巨某今年 36 歲，內蒙古赤峰人，自幼喜好并自學鉆研計算機知識，精通編程、網站攻防等技術，后成立工作室，利用自己開發的軟件炒股，起初賺了不少錢，后虧損 300 多萬元。2017 年下半年的某天，債臺高筑的巨某偶然間得知，有黑客用勒索病毒將他人電腦文件加密鎖定后敲詐錢財，于是靈機一動，嘗試開發病毒程序，通過研究 “永恒之藍”工具以及 “撒旦”等勒索病毒，巨某編寫了 “satan_pro”病毒程序用于作案。“被植入病毒的服務器中，所有的數據庫文件、文檔都會被加密，只有通過郵箱聯系我，支付比特幣，我才會把解鎖工具發給對方。”巨某交代，自己開發了一款網站漏洞掃描軟件，在獲得相關控制權限后，就有針對性地在一些服務器植入勒索病毒。

為避免破解和逃避公安機關的追查，巨某又陸續升級開發了 “nmare”“evopro”“svmst”“5ss5c”等 4 款勒索病毒，除了索要難以追查的比特幣作為贖金，還通過境外的網盤和郵箱將解密軟件發送給受害人，并經常更換，到手的比特幣也都是通過境外網站交易。

專案組查明，巨某先后向 400 多家網站和計算機系統植入敲詐勒索病毒，受害單位涉及企業、醫療、金融等行業，啟東這家超市收銀系統即是被植入 “nmare”病毒。在相關案件中，蘇州某上市科技公司的系統被巨某植入病毒，導致停產停工 3 天，損失巨大。

期間，數家數據恢復公司主動聯系巨某尋求合作。最終，巨某與謝某、譚某經營的一家數據恢復公司談妥，由巨某編程，病毒中的聯系方式和比特幣賬戶為該公司所有，再由公司尋找目標植入病毒，到手后按比例分成。6 月 4 日，謝某、譚某在廣州落網。

IT之家了解到，目前3 名涉案犯罪嫌疑人均因涉嫌敲詐勒索罪被依法執行逮捕。