南通警方抓獲一「黑客」，系國內首個落網的比特幣勒索病毒製作者

當前，勒索病毒不斷蔓延，一些企業、金融機構甚至政府網站遭到攻擊，犯罪嫌疑人索要贖金，只認比特幣，以逃避警方追查。

今天（8日），南通市公安局對外通報，在「淨網2020」專項行動中，南通、啟東兩級公安機關聯手，成功偵破一起由公安部督辦的特大製作、使用勒索病毒破壞計算機信息系統實施網絡敲詐勒索案，抓獲巨某、謝某、譚某3名犯罪嫌疑人，其中巨某系多個比特幣勒索病毒的製作者。據悉，這是全國公安機關抓獲的首名比特幣勒索病毒的製作者。

截至案發，巨某已作案百餘起，非法獲利的比特幣折合人民幣500餘萬元。

犯罪嫌疑人巨某在其居住的別墅內被抓獲

超市收銀系統被黑，破解須付比特幣

今年4月，啟東某大型超市的收銀系統遭到攻擊，被黑客植入勒索病毒，造成系統癱瘓無法正常運轉。接到報案後，南通市公安局成立由啟東警方以及網安、法制等組成的專案組，開展破案攻堅。

「通過數據勘驗，我們找到一個如何解密文件的全英文留言，要求受害人必須支付1比特幣作為破解費用。」網絡攻防專家、南通市公安局網安支隊三大隊副大隊長許平楠說，經對該超市的伺服器進行數據勘驗，發現黑客鎖定的伺服器中所有文件均被加密，文件的後綴名都變成了「lucky」，文件和程序均無法正常運行，而在C盤根目錄下有個自動生成的文本文檔，留有黑客的比特幣收款地址和郵箱聯繫方式。

留有比特幣收款地址和郵箱聯繫方式的文本文檔

「這是一起典型的使用勒索病毒破壞計算機信息系統從而實施網絡敲詐勒索的案件。」許平楠說，近年來，比特幣勒索病毒攻擊在全國乃至全球範圍內整體呈上升趨勢，令人深惡痛絕，但發起攻擊的始作俑者身份始終成謎。對這起案件，儘管專案組做了大量工作，但沒有絲毫進展，偵查陷入僵局。

數據公司成功解碼，背後暗藏隱情

案件偵查過程中，受害超市負責人反映，由於被鎖伺服器中有重要工作數據，格式化將帶來巨大損失，其聯繫了外地一家數據恢復公司，以更低的價格委託解鎖加密文件，後對方成功對伺服器數據進行了解密。

「一般來說，沒有病毒製作者的解密工具，其他人是無法完成解密的。」專案組成員、啟東市公安局網安支隊民警黃瀟艇說，勒索病毒入侵電腦，對文件或系統進行加密，每一個解密器都是根據加密電腦的特徵新生成的，只有按要求支付比特幣才能解開。

獲悉這一情況，專案組判斷，其中定有隱情。經過走訪調查，這家數據恢復公司的負責人吐露實情，原來他們通過郵箱直接與黑客取得聯繫，最終花了0.5比特幣的代價得到解鎖工具，從而順利完成任務，賺取差價。

專案組通過相關記錄，深度研判分析，排除了數據恢復公司的作案嫌疑，成功鎖定犯罪嫌疑人的真實身份為巨某，案件偵破工作取得重大進展。

5月7日，專案組在山東威海將巨某抓獲歸案，並在其居住地查獲作案用的電腦。民警在電腦中找到相關郵件記錄、比特幣交易記錄以及相關勒索病毒工具的原始碼。

炒股虧損靈機一動，網絡敲詐機關算盡

經查，巨某今年36歲，內蒙古赤峰人，自幼喜好並自學鑽研計算機知識，精通編程、網站攻防等技術，後成立工作室，利用自己開發的軟體炒股，起初賺了不少錢，後虧損300多萬元。2017年下半年，債臺高築的巨某偶然間得知有黑客用勒索病毒將他人電腦文件加密鎖定後敲詐錢財，於是靈機一動，嘗試開發病毒程序，通過研究「永恆之藍」工具以及「撒旦」等勒索病毒，巨某編寫了「satan_pro」病毒程序，用於作案。

提取的相關電子數據

「被植入病毒的伺服器中，所有的資料庫文件、文檔都會被加密，只有通過郵箱聯繫我，支付比特幣，我才會把解鎖工具發給對方。」巨某交代稱，自己開發了一款網站漏洞掃描軟體，在獲得相關控制權限後，就有針對性地在一些伺服器植入勒索病毒。

為避免破解並逃避公安機關追查，巨某又陸續升級開發了「nmare」「evopro」「svmst」「5ss5c」等4款勒索病毒，索要難以追查的比特幣作為贖金，通過境外的網盤和郵箱將解密軟體發送給受害人，並經常更換，而到手的比特幣也都是通過境外網站交易。儘管巨某機關算盡，自認為天衣無縫，但最終還是沒能逃出辦案民警的法眼。

社會危害嚴重，行業亂象不容忽視

經大量工作，專案組查明，巨某先後向400多家網站和計算機系統植入敲詐勒索病毒，受害單位涉及企業、醫療、金融等行業，上述啟東受害超市的收銀系統即是被植入了「nmare」病毒。案件中，蘇州某上市科技公司的系統被巨某植入病毒，導致停產停工3天，損失巨大。

其間，數家數據恢復公司主動聯繫巨某尋求合作。最終，巨某與謝某、譚某經營的一家數據恢復公司談妥，由巨某編程，病毒中的聯繫方式和比特幣帳戶為該公司所有，再由公司尋找目標植入病毒，到手後按比例分成。6月4日，謝某、譚某在廣州落網。

「犯罪手法隱蔽，社會危害大，同時也暴露出數據解密行業的亂象。」南通市公安局網安支隊支隊長張建說，近年來，勒索病毒攻擊破壞案件時有發生，侵害目標多為黨政機關和企事業單位的重要信息系統，嚴重危害正常辦公秩序和經濟運行秩序，甚至有數據恢復公司主動與黑客取得聯繫，共同開展攻擊破壞和敲詐勒索，同時藉機搶佔勒索病毒解密市場，成為勒索病毒蔓延擴散的幫兇。

目前，3名涉案犯罪嫌疑人均因涉嫌敲詐勒索罪被執行逮捕。南通警方提醒廣大企業和群眾，養成安全文明上網習慣，注重信息安全等級保護，及時更新系統和軟體，安裝正規的殺毒軟體和防護牆，修補漏洞，同時定期對重要數據進行備份。一旦使用的計算機感染了病毒，需儘快修改支付密碼，以免造成其他財產損失。