查看原文
其他

国内首个比特币勒索病毒制作者落网,但过程有点好笑

扩展迷EXTFANS Hollis 2021-10-22

来源:扩展迷EXTFANS

所谓比特币勒索病毒,就是某一天你突然开机后却无法打开任何文件,同时电脑上会弹出勒索对话框:


若要恢复文件,需支付XXX个比特币的赎金。


近年来,这类网络勒索病毒十分猖獗,防不胜防。全球各地企业、公共机构、甚至高校都会遭遇勒索病毒攻击。



光是在今年,国内就已经发生了数起大规模的勒索病毒传播事件。


一款名为WannaRen的病毒,它在入侵电脑后,会加密系统中几乎所有文件,加密后的文件后缀为.WannaRen。


勒索团队扬言,3天内用户若不支付0.05个比特币(约2500元人民币)的赎金,价格将会翻倍,一个星期之内不付款就会永远无法恢复被加密的文件。



由于难以查找其隐匿的踪迹,很多被攻击的企业为了息事宁人尽快恢复运营,都直接选择向黑客支付赎金视的方式。


这种一贯妥协的方式无疑助长了犯罪分子的嚣张气焰。


近期,在“净网2020”专项行动中,江苏南通警方便成功侦破使用勒索病毒实施网络敲诈勒索的案件,在山东威海市抓获比特币勒索病毒制作者巨某和其它嫌疑人。


据悉,这是全国公安机关抓获的首名比特币勒索病毒的制作者。


截至案发,巨某已作案百余起,非法获利的比特币折合人民币500余万元。



据南通公安微信公众号消息,今年4月,启东某大型超市的收银系统遭到攻击,被黑客植入勒索病毒,造成系统瘫痪无法正常运转。

接到报案后,南通市公安局的专案组对该超市的服务器进行数据勘验,发现黑客锁定的服务器中所有文件均被加密,文件的后缀名都变成了 “lucky”。

黑客还留下了比特币收款地址和邮箱联系方式,要求受害人必须支付1比特币(时价约合人民币47000元)作为破解费用。


随后,专案组做了大量工作,案情却始终没有进展,线索无处可寻,侦查陷入僵局。

这时,有意思的事情出现了。

据受害超市负责人反映,由于被锁服务器中有重要工作数据,格式化将带来巨大损失,于是他们还联系了外地一家数据恢复公司,以更低价格(少于1比特币)委托解锁加密文件,后来这家公司成功地对服务器数据进行了解密。

但专案组成员表示,没有病毒制作者的秘钥,几乎不可能完成解密。

因此专案组判断,这个所谓的数据恢复公司背后,肯定还有隐情。


经过走访调查,这家数据恢复公司的负责人最终吐露实情——原来,他们的解密方式,是通过邮箱直接与黑客取得联系,最终花了0.5比特币的代价得到解锁工具,从而顺利完成任务,赚取差价。


最后,专案组经过分析调查排除了数据恢复公司的作案嫌疑,成功锁定犯罪嫌疑人的真实身份为巨某。

5月7日,专案组在山东威海将巨某抓获归案,并在其居住地查获作案用的电脑。

民警在其电脑中还找到相关邮件记录、比特币交易记录以及相关勒索病毒工具的源代码。


经查,巨某今年36岁,自幼喜好并自学钻研计算机知识,精通编程、网站攻防等技术,后成立工作室,利用自己开发的软件炒股,起初赚了不少钱,后亏损300多万元。

2017年下半年的某天,巨某偶然间得知有黑客用勒索病毒将他人电脑文件加密锁定后敲诈钱财,于是尝试自行开发病毒程序,通过研究 “永恒之蓝”工具以及 “撒旦”等勒索病毒,巨某编写了 “satan_pro”病毒程序用于作案。

为避免破解和逃避公安机关的追查,巨某又陆续升级开发了 4款勒索病毒,除了索要难以追查的比特币作为赎金。

巨某先后向400多家网站和计算机系统植入敲诈勒索病毒,受害单位涉及企业、医疗、金融等行业。

在相关案件中,苏州某上市科技公司的系统被巨某植入病毒,导致停产停工3天,损失巨大。


但在巨某的勒索过程中,总有那么一些企业“吃软不吃硬”,不愿意那么直接地交出赎金。

这时候,商机又来了。

数家数据恢复公司主动联系巨某寻求合作:一个负责“唱黑脸”植入病毒,一个“唱白脸”负责假装解密。

最终,巨某与谢某、谭某经营的一家数据恢复公司谈妥,到手后双方按比例分成。

6月4日,谢某、谭某也在广州落网了。目前,3名涉案犯罪嫌疑人均因涉嫌敲诈勒索罪被执行逮捕。


勒索软件,作为目前影响最大、发展最快、最受关注的网络安全威胁形式之一,其危害不容小觑。

这对财大气粗资金雄厚的大公司来说,支付赎金虽然肉疼,但也能接受。

但有的企业可能会因为被勒索后数据丢失而直接倒闭,甚至有的行业也会因为某一个勒索病毒直接洗牌。

2019年圣诞节前,就有一家公司因为勒索软件而倒闭,造成300多人失业。

并且,这样的勒索事件已经蔓延到政府、医疗、教育等网络防御能力较低的基础设施单位。

轻则导致这些单位门口办事的群众排起长龙,重则直接导致关门整顿。


对于一名普通人来说,我们能做的,就是及时修复系统漏洞、采用高强度密码、定期备份重要资料。

最重要的是,提高安全意识,千万千万千万不要点击来源不明的邮件,不要从不明网站下载软件!



往期推荐

胡润富豪榜2020出炉,雷军身价是任正非的十倍?


色情版“微信”背后的秘密


看看人家那后端API接口写得,那叫一个优雅!


本文由“壹伴编辑器”提供技术支
 

直面Java第329期:哪个命令可以监控虚拟机各种运行状态信息?

深入并发第013期:拓展synchronized——锁优化


如果你喜欢本文,
请长按二维码,关注 Hollis.
转发至朋友圈,是对我最大的支持。

点个 在看 
喜欢是一种感觉
在看是一种支持
↘↘↘
: . Video Mini Program Like ,轻点两下取消赞 Wow ,轻点两下取消在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存