“这是一起利用勒索病毒破坏计算机信息系统,实施网络勒索的典型案件。”许平南说,近年来,比特币勒索病毒攻击在全国乃至全球范围内呈上升趋势,令人发指,但每次攻击的发起者身份始终是个谜。专案组虽然对此案做了大量工作,但始终没有进展,调查陷入僵局。
警方顺藤摸瓜,抓获病毒制造者
案件侦查过程中,受害超市负责人反映,由于被锁定的服务器包含重要的工作数据,格式化将带来巨大损失。他联系了外地一家数据恢复公司,委托其以较低的价格解锁被加密的文件。该公司随后成功解密了服务器数据。
“一般来说,没有病毒制造者的解密工具,别人是无法完成解密的。”专案组成员、启东市公安局网络安全保卫支队民警黄晓婷介绍,勒索病毒入侵电脑,对文件或系统进行加密,每个解密器都是根据被加密电脑的特征重新生成的,需要按要求支付比特币才能解密。
专案组得知此事后判断,其中必有隐情。经过走访调查,数据恢复公司负责人道出了真相。原来,他们直接通过电子邮件联系了黑客,最终花费0.5个比特币拿到了解锁工具,从而顺利完成任务,赚足了差价。
通过深入研究分析相关记录,专案组不仅排除了数据恢复公司的嫌疑,还成功认定犯罪嫌疑人真实身份为鞠某,破案取得重大进展。
5月7日,专案组在山东威海将鞠某抓获,并在其住处查获了用于作案的电脑,警方还在其电脑中找到了相关电子邮件记录、比特币交易记录以及相关勒索软件工具的源代码。
提取相关电子数据
完美犯罪,赎金仅接受比特币
经调查发现,鞠某今年36岁,内蒙古赤峰人,自幼对计算机知识感兴趣并自学成才,精通编程、网站攻防等技术,后成立工作室,利用自己开发的软件炒股,起初赚得盆满钵满,但后来亏损300余万元。
2017年下半年的一天,负债累累的鞠某无意中得知黑客利用勒索病毒加密锁定他人电脑文件,然后勒索钱财。于是,他灵机一动,尝试开发病毒程序。通过研究“永恒之蓝”工具和“撒旦”等勒索病毒,鞠某编写了“satan_pro”病毒程序实施犯罪。
“在植入病毒的服务器里,所有的数据库文件和文档都会被加密,只有他们通过邮件联系我,并用比特币支付,我才会把解锁工具发给他们。”鞠某交待,自己开发了一款网站漏洞扫描软件,在取得相关控制权限后,针对部分服务器植入了勒索病毒。
为了避免被破解,逃避公安机关的调查,鞠某先后升级开发了“nmare”、“evopro”、“svmst”、“5ss5c”等4个勒索病毒。除了索要难以追查的比特币作为赎金外,他还通过境外网盘、邮件等方式将解密软件发送给受害人,并频繁更换。他收到的比特币也通过境外网站进行交易。虽然鞠某已经竭尽全力,自认为犯罪行为没有破绽,但最终还是没能逃脱警方的眼睛。
社会危害严重,行业乱象不容忽视
经过大量工作,专案组发现鞠某在400多个网站和计算机系统中植入了勒索病毒,受害者涉及企业、医疗、金融等多个行业。启东这家超市的收银系统就被植入了“纳米勒索”病毒。苏州一家上市科技公司的系统被鞠某植入病毒,导致停机三天,损失巨大。
期间,有多家数据恢复公司主动联系鞠某,寻求合作。最终,鞠某与谢某、谭某开办的数据恢复公司达成协议。鞠某编写病毒程序,病毒中的联系方式和比特币账户均属于该公司所有。该公司再寻找目标植入病毒,利润按比例分成。
6月4日,谢志雄、谭某在广州被捕。
“犯罪手段隐蔽,社会危害性大,同时也暴露出数据解密行业的乱象。”南通市公安局网安大队队长张建介绍,近年来,勒索病毒攻击破坏案件频发,攻击目标多为党政机关、企事业单位重要信息系统,严重危害正常办公秩序和经济运行秩序。一些数据恢复公司甚至主动联系黑客,共同实施攻击、破坏、勒索,同时借机抢占勒索解密市场,成为勒索病毒传播的帮凶。
目前,3名涉案犯罪嫌疑人因涉嫌敲诈勒索罪已被刑事拘留。
警方提醒
企业和广大公众应当养成良好的安全文明上网习惯,重视信息安全等级保护,及时更新系统和软件,定期安装杀毒软件和防火墙,修补漏洞,定期备份重要数据。
另外,一旦您使用的计算机感染病毒,一定要尽快更改支付密码,避免造成其他财产损失。
