内容提要：近日，全国首个比特币勒索病毒开发者巨某，被江苏南通警方成功捕获。巨某在三年的时间里，利用网络勒索病毒，已非法获利超 500 万元人民币。

关键词：比特币勒索病毒 数据恢复

10 月 8 日，据江苏省南通市当地警方通报，在「净网 2020」行动中，成功侦破了一起特大网络敲诈案件，3 名犯罪嫌疑人巨某、谢某和谭某落网。

犯罪嫌疑人巨某，作为多个比特币勒索病毒的制作者，已成功作案百余起，非法获取的比特币折合人民币 500 余万元。

 病毒勒索：想要数据？比特币来换

近年来，网络勒索病毒十分猖獗，防不胜防。全球各地企业、机构、甚至高校都会遭遇勒索病毒攻击。

今年 4 月，江苏省南通市启东某大型超市收银系统就遭到了攻击，系统被黑客植入勒索病毒，因此瘫痪，无法正常运转。

超市立即进行了报案，南通市公安局与市局网安等部门组成专案组进行侦查。通过数据勘验，专案组找到一份告知如何解密文件的全英文留言，要求受害人必须支付 1 比特币（时价约合人民币 47000 元）作为破解费用。

黑客勒索留言：若想恢复文件，就给我钱包里打 1 个比特币

此外，网警经对该超市的服务器进行数据勘验，发现黑客锁定的服务器中所有文件均被加密，文件的后缀名都变成了「lucky」，文件和程序均无法正常运行。而在 Ｃ 盘根目录下有个自动生成的文本文档，留有黑客的比特币收款地址和邮箱联系方式。

超市服务器数据文件后缀都变成了「lucky」

随后，尽管专案组做了大量工作，却始终没有进展。线索无处可寻，侦查陷入僵局。

根据南通市公安局网安支队三大队副大队长许平楠介绍，「由于比特币均通过境外网站交易，追查难度较大，发起攻击的始作俑者身份往往成谜。」

随着价格的不断上涨以及其本身的匿名性

比特币深受众多不法分子的青睐

 超市求助数据恢复公司，竟成破案线索

就在警方无处下手的时候，案情出现了一丝转机。

由于超市被锁服务器中有重要工作数据，如果格式化则损失巨大。因此，超市工作人员联系了一家数据恢复公司，以低于被勒索（1 个比特币）的价格，委托其解锁加密文件。

后来这家数据恢复公司，竟然神奇地对服务器数据进行了成功解密。

警方获悉这一情况后，认为其中可能另有隐情。因为，一般来说，勒索病毒入侵电脑，对文件或系统进行加密，每一个解密器都是根据加密电脑的特征新生成的，没有病毒制作者的秘钥，几乎不可能完成解密。

专案组成员、启东市公安局网安支队民警黄潇艇分析称

一般只有向勒索者支付比特币才能解密

但经过进一步侦查之后，排除了数据恢复公司的嫌疑。

原来该数据恢复公司之所以能够恢复数据，是因为他们通过邮箱与黑客取得联系，并支付 0.5 比特币获取了解锁工具，从而完成任务，赚取差价。

专案组通过数据恢复公司而获取的新线索，以及深度研判分析，成功锁定犯罪嫌疑人的真实身份为巨某，至此案件侦破工作终于取得重大进展。

5 月 7 日，专案组在山东威海将巨某抓获归案，并在其居住地查获作案用的电脑。在巨某的电脑中，民警找到了相关邮件记录、比特币交易记录以及相关勒索病毒工具的源代码。

证据面前，巨某（右二）对自己的罪行供认不讳

巨某交代称，他开发了一款网站漏洞扫描软件，在获得相关控制权限后，就针对性植入勒索病毒。为避免破解和逃避公安机关的追查，巨某相继开发升级了 4 种勒索病毒，索要难以追查的比特币作为赎金，使用的都是境外网盘和邮箱。

在江苏警方抓获犯罪嫌疑人前，巨某已经向 400 多家网站和计算机系统植入敲诈勒索病毒，受害单位覆盖 20 多个省份，涉及企业、医疗、金融等多个行业。

其中，苏州的一家上市公司，因为勒索病毒破坏了其相关工作使用的数据库文件，导致整个生产系统无法正常运行，直接停工三天，造成了巨大的经济损失。

 自学达人，却走上犯罪道路

这位巨某，可以说是被敲诈勒索「事业」耽误了的自学达人。

据了解，巨某生于内蒙古赤峰，今年 36 岁。他自幼就喜好并自学计算机知识，精通编程、网站攻防等技术。

之后，他成立了工作室，利用自己开发的软件炒股。起初还赚了不少，可最后以亏损 300 多万元而告终。

债台高筑的巨某，偶然的一次机会得知了用勒索病毒敲诈的发财门路，于是走上了开发病毒程序之路。

从 2017 年下半年开始，巨某一直都在研究「撒旦」等勒索病毒，以及漏洞利用程序「永恒之蓝」，并编写了「satan_pro」病毒程序用于作案。

2018 年就曾有中了该病毒的客户请求数据解密公司解密，其勒索留言如下：

据巨某交代，为避免破解和逃避公安机关的追查，他在「satan_pro」之后，又陆续升级开发了「nmare」、「evopro」、「svmst」和「5ss5c」4 款勒索病毒，江苏南通受攻击的超市收银系统，就是被植入了「nmare」病毒。

除了索要难以追查的比特币作为赎金，巨某还通过境外的网盘和邮箱将解密软件发送给受害人，并经常更换，到手的比特币也都是通过境外网站交易。

对于巨某来说，自己天衣无缝的计划堪称「完美犯罪」，但终究没能逃过警方的侦查。在作案期间，与他合作的一家数据恢复公司经营者谢某、谭某，也均因涉嫌敲诈勒索罪被逮捕。

不知道这位巨某如今身陷囹圄，会作何感想。如果他利用所学知识，做一名网络安全工程师，人生历程就完全不同了。

或许在未来的某一天里，铁窗里的他还会想起很多年前，敲下第一行代码时振奋、纯粹的自己。

新闻来源：

新浪财经：《全国首个比特币勒索病毒制作者落网：曾迫使一上市公司停工3天》

南通公安微信公众号：《全国首个比特币勒索病毒制作者落网！南通破获特大制作使用病毒实施敲诈勒索案》

—— 完 ——