中国抓到了勒索病毒作者,上市公司停工3天

news/2024/10/30 17:17:48/

这事真的,原因江苏警方来北京找华盟总部找到我了,原因我们中过这个病毒给他交过比特币赎金,找我记录一下,准备退款。

随着国外勒索病毒犯罪的兴起,国内此类案件也发生的越来越多,一些企业、金融机构甚至政府部门都开始遭受攻击,攻击者为了能勒索钱到手,痕迹不沾身,都选择只认比特币作为赎金。

这些犯罪分子以为只要通过比特币就可以完美犯罪,躲避警方追查,逍遥法外,不过进步的可不止有这些犯罪分子,警方也在抓捕网络犯罪技术手段上突飞猛进。

就在昨天,南通警方公布了我国公安机关抓获的首个比特币勒索病毒的制作者。


10月9日,警方在“净网2020”专项活动中,南通、启东两级公安机关联手,日前成功侦破一起由公安部督办的特大制作、使用勒索病毒破坏计算机信息系统,从而实施网络敲诈勒索的案件,抓获巨某、谢某、谭某等3名犯罪嫌疑人,其中巨某系多个比特币勒索病毒的制作者。

▲犯罪嫌疑人巨某在其居住的别墅内被抓获
据悉,截止犯罪嫌疑人巨某被抓,已经成功作案上百起,非法获利的比特币折合人民币500余万元。

▲数据恢复公司员工笔记

收银系统被黑,超市遭网络勒索

今年4月,启东某大型超市的收银系统遭到攻击,被黑客植入勒索病毒,造成系统瘫痪无法正常运转。接到报案后,南通市公安局成立由启东公安和市局网安、法制等部门组成的专案组,开展破案攻坚。


“通过数据勘验,我们找到一个如何解密文件的全英文留言,要求受害人必须支付1比特币作为破解费用。”网络攻防专家、南通市公安局网安支队三大队副大队长许平楠说,经对该超市的服务器进行数据勘验,发现黑客锁定的服务器中所有文件均被加密,文件的后缀名都变成了“lucky”,文件和程序均无法正常运行,而在C盘根目录下有个自动生成的文本文档,留有黑客的比特币收款地址和邮箱联系方式。


“这是一起典型的使用勒索病毒破坏计算机信息系统,从而实施网络敲诈勒索的案件。”许平楠说,近年来,比特币勒索病毒攻击在全国乃至全球范围内整体呈上升趋势,令人深恶痛绝,但发起每次攻击的始作俑者身份始终成谜。对这起案件,尽管专案组做了大量工作,但始终没有丝毫进展,侦查陷入僵局。

警方顺藤摸瓜,病毒制作者落网

案件侦查过程中,受害超市负责人反映,由于被锁服务器中有重要工作数据,格式化将带来巨大损失,于是联系了外地一家数据恢复公司,以更低价格委托解锁加密文件,后来这家公司成功地对服务器数据进行了解密。“一般来说,没有病毒制作者的解密工具,其他人是无法完成解密的。”专案组成员、启东市公安局网安支队民警黄潇艇说,勒索病毒入侵电脑,对文件或系统进行加密,每一个解密器都是根据加密电脑的特征新生成的,只有按要求支付比特币才能解开。


获悉这一情况,专案组判断,其中定有隐情。经过走访调查,这家数据恢复公司的负责人吐露实情,原来他们通过邮箱直接与黑客取得联系,最终花了0.5比特币的代价得到解锁工具,从而顺利完成任务,赚取差价。
专案组通过相关记录,深度研判分析,排除了数据恢复公司的作案嫌疑,成功锁定犯罪嫌疑人的真实身份为巨某,案件侦破工作取得重大进展。


5月7日,专案组在山东威海将巨某抓获归案,并在其居住地查获作案用的电脑。民警在其电脑中还找到相关邮件记录、比特币交易记录以及相关勒索病毒工具的源代码。

自认完美犯罪,赎金只认比特币

经查,巨某今年36岁,内蒙古赤峰人,自幼喜好并自学钻研计算机知识,精通编程、网站攻防等技术,后成立工作室,利用自己开发的软件炒股,起初赚了不少钱,后亏损300多万元。
2017年下半年的某天,债台高筑的巨某偶然间得知,有黑客用勒索病毒将他人电脑文件加密锁定后敲诈钱财,于是灵机一动,尝试开发病毒程序,通过研究“永恒之蓝”工具以及“撒旦”等勒索病毒,巨某编写了“satan_pro”病毒程序用于作案。“被植入病毒的服务器中,所有的数据库文件、文档都会被加密,只有通过邮箱联系我,支付比特币,我才会把解锁工具发给对方。”巨某交代,自己开发了一款网站漏洞扫描软件,在获得相关控制权限后,就有针对性地在一些服务器植入勒索病毒。


为避免破解和逃避公安机关的追查,巨某又陆续升级开发了“nmare“evopro”“svmst”“5ss5c”等4款勒索病毒,除了索要难以追查的比特币作为赎金,还通过境外的网盘和邮箱将解密软件发送给受害人,并经常更换,到手的比特币也都是通过境外网站交易。
尽管巨某机关算尽,自认为犯罪行为天衣无缝,是“完美犯罪”,最终还是没能逃出办案民警的法眼。

社会危害严重,行业乱象不容忽视

经大量工作,专案组查明,巨某先后向400多家网站和计算机系统植入敲诈勒索病毒,受害单位涉及企业、医疗、金融等行业,启东这家超市收银系统即是被植入“nmare”病毒。在相关案件中,苏州某上市科技公司的系统被巨某植入病毒,导致停产停工3天,损失巨大。
期间,数家数据恢复公司主动联系巨某寻求合作。最终,巨某与谢某、谭某经营的一家数据恢复公司谈妥,由巨某编程,病毒中的联系方式和比特币账户为该公司所有,再由公司寻找目标植入病毒,到手后按比例分成。6月4日,谢某、谭某在广州落网。


“这类犯罪手法隐蔽,社会危害大,同时也暴露出数据解密行业的乱象。”南通市公安局网安支队支队长张建说,近年来,勒索病毒攻击破坏案件时有发生,侵害目标多为党政机关和企事业单位的重要信息系统,严重危害正常办公秩序和经济运行秩序,甚至有数据恢复公司主动与黑客取得联系,共同开展攻击破坏和敲诈勒索,同时借机抢占勒索病毒解密市场,成为勒索病毒蔓延扩散的帮凶。
目前,3名涉案犯罪嫌疑人均因涉嫌敲诈勒索罪被依法执行逮捕。

警方提醒

广大企业和群众平时应养成良好的安全文明上网习惯,注重信息安全等级保护,及时更新系统和软件,安装正规的杀毒软件和防护墙,修补漏洞,同时定期对重要数据进行备份。此外,一旦使用的计算机感染了病毒,还需尽快修改支付密码,以免造成其他财产损失。


http://www.ppmy.cn/news/747552.html

相关文章

SQLServer数据库mdf文件中了勒索病毒firex3m,扩展名变为mdf.firex3m

** SQL Server数据库mdf文件中了勒索病毒firex3m,扩展名变为mdf.firex3m,导致公司金蝶,用友财务ERP软件不能使用。OA软件也不能使用。 ** 常见的扩展名如下: .firex3m .firex3m .firex3m .firex3m ***.ldf.firex3m ***.mdf.fi…

全球爆发计算机勒索病毒

(点击上方公众号,可快速关注) 一、勒索病毒介绍 5月12日,英国、意大利、俄罗斯等多个国家爆发勒索病毒攻击,国内校园网也出现大面积感染。这种勒索病毒被命名为 WannaCry。 当用户主机系统被入侵后,弹出如下…

中国抓到了勒索病毒作者!!

来源:南通公安 当前,勒索病毒不断蔓延,各类新型病毒层出不穷,一些企业、金融机构甚至政府网站遭到攻击,犯罪嫌疑人索要赎金只认比特币,以逃避警方追查。 在“净网2020”专项行动中,南通、启东两…

美创安全实验室|2020年9月勒索病毒报告

本月,美创安全实验室威胁平台监测到多起勒索病毒攻击事件,发现勒索病毒的活跃情况呈上升趋势,常年霸榜的Phobos、Globelmposter、Dharma三大勒索病毒家族为2020年9月勒索病毒“主力”。如今,勒索家族越来越多的将目标对准企业、学…

全球WannaCry勒索病毒爆发背后的技术漏洞

转载文章请注明作者和二维码及全文信息。 5月12日晚,新型“蠕虫式”勒索病毒软件 WannaCry 在全球爆发,攻击各国政府,学校,医院等网络。我国众多行业大规模受到感染,其中教育网受损最为严重,攻击造成大量教…

Bitdefender 发布GandCrab V5.2勒索病毒解密工具

2018年1月28日,我们的观察分析师在Bitdefender威胁地图上看到了一个小小的点。这是我们每天在Bitdefender看到的数以百万计的点点,但这一点突显了一个新的勒索软件家族的诞生,这些勒索软件将给世界各地的无辜受害者带来巨大的痛苦。同样的情绪…

向日葵远程控制遭勒索病毒攻击系谣言 贝锐官方已发公告辟谣

上海贝锐信息科技有限公司旗下的向日葵远程控制软件在国内占据较高份额,不少企业依赖向日葵远程控制对企业实施降本增效,如疫情期间的远程办公,和无人守值设备远程维护。 但最近有人在朋友圈谣传向日葵远控出现安全漏洞导致勒索软件蔓延&…

终于,抓到了勒索病毒作者!!

阅读本文大概需要 5 分钟。 来自:南通公安 当前,勒索病毒不断蔓延,各类新型病毒层出不穷,一些企业、金融机构甚至政府网站遭到攻击,犯罪嫌疑人索要赎金只认比特币,以逃避警方追查。 在“净网2020”专项行动…