国内首家比特币勒索病毒制造者被捕：涉案金额超500万元

IT之家10月18日报道，在“净网2020”专项行动中，江苏南通警方成功侦破一起利用勒索软件进行网络勒索的案件，将比特币勒索软件的创作者抓获山东威海。这是第一个在中国被捕的比特币勒索软件生产商。截至案发，他已作案100余起，非法获利等值500万元以上。此外，警方还逮捕了两名涉案嫌疑人。

据南通公安微信公众号消息，今年4月，启东某大型超市收银系统遭到攻击，黑客植入勒索软件，导致系统瘫痪无法运行一般。南通市公安局接到举报后，成立启东市公安局和市局网安、法制等部门组成的专案组进行打击。

网络攻防专家、南通市公安局网安支队三支队副组长许平南表示，在对超市服务器进行数据检查后发现，被黑客锁定的服务器被加密，文件后缀全部变成“幸运”，文件和程序无法正常运行，C盘根目录下自动生成文本文档，留下黑客比特币付款地址和电子邮件联系信息，要求受害者支付 1 比特币作为破解费。

在案件调查过程中，受害人超市负责人反映，由于被锁定的服务器包含重要的工作数据，格式化会带来巨大的损失，于是联系了国外的数据恢复公司，委托他处理以较低的价格解锁加密文件。该公司后来成功解密了服务器数据。 “一般来说，没有病毒制造者的解密工具，其他人是无法完成解密的。”专案组成员、启东市公安局网安支队民警黄晓婷表示，勒索病毒侵入电脑，对文件或系统进行加密。 ，每个解密器都是根据加密计算机的特性新生成的，只有按要求支付比特币才能解锁。

专案组察觉到这种情况，判断一定有不为人知的秘密。经过走访调查，这家数据恢复公司的负责人道出了实情。原来，他们是直接通过邮件联系黑客，最终花费了0.5个比特币获得了解锁工具，从而顺利完成任务，赚取差价。 .

专案组通过对相关记录的深入调查分析，排除了数据恢复公司的作案嫌疑，并成功查明了犯罪嫌疑人聚某的真实身份。案件侦破取得重大进展。

5月7日，专案组在山东威海抓获居某，并在其住所缴获作案电脑。警方还在他们的电脑上发现了相关的电子邮件记录、比特币交易记录以及相关勒索软件工具的源代码。

经查，居某今年36岁比特币勒索病毒解密，来自内蒙古赤峰市。他从小就喜欢并学习计算机知识。精通编程、网站攻防等技术。钱，然后损失了300多万元。 2017年下半年的一天，负债累累的巨头无意中得知一名黑客利用勒索病毒对他人电脑文件进行加密锁定后勒索钱财，于是萌生了一个想法，尝试开发病毒程序。 “撒旦”等勒索软件，聚某编写“satan_pro”病毒程序作案。 “在植入病毒的服务器中，所有数据库文件和文档都会被加密比特币勒索病毒解密，只有通过电子邮件联系我并支付比特币，我才会将解锁工具发送给对方。”鞠某解释说，他自己开发了一个网站漏洞扫描软件，在获得相关控制权限后，会有针对性地在部分服务器上植入勒索软件。

为避免破解和逃避公安机关的侦查，聚谋先后升级开发了“nmare”、“evopro”、“svmst”、“5ss5c”四类勒索软件。海外网盘、邮箱向受害者发送解密软件，频繁更换，收到的比特币也通过海外网站进行交易。

专案组查明，聚某在400多个网站和计算机系统中植入了勒索和勒索病毒。受害单位涉及企业、医疗、金融等行业。启东这家超市的收银系统被植入了“nmare”病毒。相关案例中，苏州某上市科技公司系统被巨头植入病毒，导致停产3天，损失巨大。

期间，多家数据恢复公司主动联系聚某合作。最终，居某与谢某和谭某经营的一家数据恢复公司进行了谈判。由菊某编写，病毒中的联系方式和比特币账户均属于该公司。然后该公司寻找目标并植入病毒。按比例分配。 6月4日，谢和谭在广州被捕。

IT之家获悉，涉案三名嫌疑人均已因涉嫌敲诈勒索被依法逮捕。