鲁网·泰山财经10月10日讯（记者 韩黟瞳）近日，江苏南通警方成功抓获全国首个比特币勒索病毒制作者，犯罪嫌疑人巨某先后向4多家网站和计算机系统植入敲诈勒索病毒。截止案发，巨某已作案百余起，非法获利的比特币折合人民币5余万元。为逃避公安机关的追查，他索要难以追查的比特币作为赎金。此外，巨某还与一家数据恢复公司的谢某和谭某合作，按比例分成。目前，3名涉案犯罪嫌疑人均因涉嫌敲诈勒索罪被执行逮捕。

比特币勒索犯罪率上升 黑客狡猾易遁行

据了解，今年4月，某大型超市的收银系统遭到黑客攻击，造成系统瘫痪。接到报案后，南通市公安局立即成立专案组，开展破案侦查。

“这是一起典型的使用勒索病毒破坏计算机信息系统从而实施网络敲诈勒索的案件。通过数据勘验，我们找到一个如何解密文件的全英文留言，要求受害人必须支付1比特币作为破解费用。”网络攻防专家、南通市公安局网安支队三大队副大队长许平楠说，经对服务器大数据勘察，发现文件的后缀名都变成了“lucky”，文件和程序均无法正常运行，而在C盘根目录下有个自动生成的文本文档，留有黑客的比特币收款地址和邮箱联系方式。

许平楠说，近年来，黑客活动猖獗，比特币勒索病毒攻击在全国乃至全球范围内整体呈上升趋势，经过大量勘察、数据比对，发现黑客非常狡猾，每次攻击后都能“全身而退”，无法找到行踪，致使案件短时间内无法实质性突破。

二一添作五 数据恢复公司竟做起“中间商”

据超市负责人反映，因为被“黑”数据非常重要，超市在短时间内必须恢复运转正常 ，否则将带来更大的损失，于是，他们便联系了数据恢复公司进行数据恢复。

巧的是，数据恢复公司很快将数据恢复如新，这一举动引起了让专案组成员、启东市公安局网安支队民警黄潇艇的注意。

“一般来说，没有病毒制作者的解密工具，其他人是无法完成解密的。”黄潇艇说，每一个解密器都是根据加密电脑的特征新生成的，只有按要求支付比特币才能解开。

随后，专案组成员经过走访调查，这家数据恢复公司的负责人吐露实情，原来他们通过邮箱直接与黑客取得联系，最终花了0.5比特币的代价得到解锁工具，赚取差价。

最后，专案经过悉心排查，不仅排除了数据恢复公司的作案嫌疑，还成功锁定犯罪嫌疑人的真实身份为巨某。

法网恢恢 犯罪嫌疑人巨某在威海落网

这一发现让专案组成员们大为振奋，5月7日，专案组在山东威海将巨某抓获归案，并在其居住地查获作案用的电脑。民警在其电脑中还找到相关邮件记录、比特币交易记录以及相关勒索病毒工具的源代码。

经查，巨某今年36岁，内蒙古赤峰人，从小喜好并自学钻研计算机知识，精通编程、网站攻防等技术，随后开始炒股，但亏了3万后，他打起了比特币勒索的“歪主意”，通过研究“永恒之蓝”工具以及“撒旦”等勒索病毒，巨某编写了“satan_pro”病毒程序，用于作案。

“被植入病毒的服务器中，所有的数据库文件、文档都会被加密，只有通过邮箱联系我，支付比特币，我才会把解锁工具发给对方。”巨某交代称。

为避免破解和逃避公安机关的追查，巨某又陆续升级开发了“nmare”“evopro”“svmst”“5ss5c”等4款勒索病毒，除了索要难以追查的比特币作为赎金，尽管巨某自认为犯罪行为完美无缺，但最终还是没能“完美到底”。

比特币勒索令多家企业损失惨重 行业乱象亟待整治

经专案组查明，巨某先后向4多家网站和计算机系统植入敲诈勒索病毒，受害单位涉及企业、医疗、金融等行业，启东这家超市收银系统即是被植入了“nmare”病毒。案件中，苏州某上市科技公司的系统被巨某植入病毒，导致停产停工三天，损失巨大。

其间，数家数据恢复公司主动联系巨某寻求合作，最终，巨某与谢某、谭某经营的一家数据恢复公司谈妥，由巨某编程，病毒中的联系方式和比特币账户为该公司所有，再由公司寻找目标植入病毒，到手后按比例分成。6月4日，谢某、谭某在广州落网。

“犯罪手法隐蔽，社会危害大，同时也暴露出数据解密行业的乱象。”南通市公安局网安支队支队长张建说，近年来，勒索病毒攻击破坏案件时有发生，侵害目标多为党政机关和企事业单位的重要信息系统，严重危害正常办公秩序和经济运行秩序，甚至有数据恢复公司主动与黑客取得联系，共同开展攻击破坏和敲诈勒索，同时借机抢占勒索病毒解密市场，成为勒索病毒蔓延扩散的帮凶。

目前，3名涉案犯罪嫌疑人均因涉嫌敲诈勒索罪被执行逮捕。

鲁网