苹果比特派官网app下载安卓|敲诈勒索病毒

作者：苹果比特派官网app下载安卓

2024-03-15 02:38:38

勒索病毒 | 普通人“自救指南” - 知乎

勒索病毒 | 普通人“自救指南” - 知乎首发于灰产圈切换模式写文章登录/注册勒索病毒 | 普通人“自救指南”灰产圈山东道格拉斯网络科技有限公司总经理近日，公安机关在“净网2020”专项行动中，成功侦破一起由公安部督办的特大制作、使用勒索病毒破坏计算机信息系统从而实施网络敲诈勒索的案件。据官方消息，犯罪嫌疑人巨某是全国公安机关抓获的首名比特币勒索病毒的制作者。截止案发，巨某已先后向400多家网站和计算机系统植入敲诈勒索病毒，受害单位涉及医疗、金融等行业，非法获利的比特币折合人民币500余万元。勒索病毒就像是游走在互联网里的有害细胞，形式多变且难以捉摸。而它的蔓延，给企业和个人都带来了严重的安全威胁。所以，今天鹅师傅就来扒一扒关于勒索病毒的那些事以及普通人应该如何有效“自救”。1勒索病毒的发展史：由个人化演变为产业化黑产链1、原始期：大家知道最早的勒索病毒是什么时候出现的吗？其实早在1989年，第一个勒索病毒（AIDSTrojan，又名“艾滋病特洛伊木马”）就已经诞生了！这个木马会以“艾滋病信息引导盘”的形式进入系统，把系统文件替换成含病毒的文件，并在开机时开始计数，一旦系统启动达到90次，木马就会隐藏磁盘的目录，C盘全部文件也会被加密，从而导致系统无法启动。而这时，电脑屏幕就会弹出一个窗口要求用户邮寄189美元来解锁系统。2006年，我国首款勒索软件Redplus勒索木马出现。这个病毒并不会删除电脑里的文件，而是把它们转移到一个具有隐藏属性的文件夹里，然后弹出窗口要求用户将赎金汇到指定的银行账户，金额从70元至200元不等。这个时期的勒索病毒还处于萌芽阶段，传播途径主要通过钓鱼邮件，挂马，社交网络的方式。所谓的挂马就是用户在浏览有安全威胁的网站，系统会被植入木马感染勒索病毒。而钓鱼邮件这种传播方式算是病毒界比较老套路的传播方式了。攻击者会以广撒网的方式大量发送含有勒索病毒的文件，一旦收件人打开该文件或链接，勒索软件会以用户看不见的形式在后台静默安装，然后实施勒索。但由于过去技术有限，大多勒索病毒都存在着漏洞，很容易就会被识别破解，加上这阶段交付赎金的方式多数以邮寄现金和转账为主。而这种交付形式，真的很不适合勒索病毒，不管是邮寄的地址还是转账的账号，都很容易暴露黑客的行踪，为了几百块的勒索金就这样铤而走险就像玩过家家一样，特别不划算。2、成长期：2013年是勒索病毒发展的一个重要的“分水岭”。CryptoLocker病毒作为首个采用比特币作为勒索金支付手段的加密勒索软件出现了！（图片来源网络）这个时期的勒索病毒一般使用AES和RSA对特定文件类型进行加密，而这种加密算法就现在的计算技术来说，几乎是没办法破解的。那为什么黑客们会喜欢选择比特币呢？像比特币这样的虚拟货币可以完美地隐藏黑客的身份，完全匿名且不受各种金融限制，几乎很难从一个比特币账户追查到另一个。让整个交易过程难以被追踪。让被勒索者把钱放在公园第三个垃圾桶旁边，或者从过街天桥丢下这些熟悉的桥段，真的只会在电影里出现了，黑客们再也不用为因收钱而暴露的风险操心了······3、成熟期：2017年，一款名叫“WannaCry”的勒索病毒席卷了全球150多个国家。相信各位即使自己电脑没感染过这个病毒，也曾有所耳闻。那为什么“WannaCry”的传染力如此之强呢？主要是因为一个叫 “The Shadow Brokers” 的黑客组织把它的病毒攻击工具和用于加密的密码公布到了网上。换句话说，无论是谁都可以下载下来并进行远程攻击利用。而这一思路恰恰为黑产分子打开了“新世界”的大门！在这个阶段，勒索病毒逐渐演变成了产业化模式，并形成了一条完整的黑产产业链。从勒索病毒作者、勒索实施者、传播渠道商、代理等等，各环节分工明细。而攻击的对象不再仅限于个人，更多的是针对企业，尤其是中大型企业，让企业核心业务网络陷入瘫痪，而不得不缴纳巨额的赎金。收到赎金的黑客们会将钱分批转给病毒制作者和各渠道的合作商。当然啦，这些钱的大部分都落入了勒索者和组织运营的平台，其他环节虽然分成不多，但“薄利多销”，总数还是很可观的。（勒索病毒演变历程）勒索病毒演变到今天，已经不再是单纯的个人行为，而已经形成小具规模的成熟产业链。2勒索病毒究竟是个什么东西？勒索病毒是黑客通过锁屏、加密文件等方式劫持用户文件并以此敲诈用户钱财的恶意软件。就像我们人体会通过喷嚏、咳嗽、说话感染到病毒那样，电脑也会通过系统漏洞或网络钓鱼等方式感染到勒索病毒。目前大部分勒索病毒所用到的加密方式就是非对称加密算法或者对称与非对称混合加密。什么是对称加密算法？什么是非对称加密算法？对称加密算法（如：AES），就是使用相同的密钥进行加密和解密。而非对称加密算法（如：RSA），加密和解密使用的是不同的密钥。使用非对称加密算法，会同时产生一对密钥，一把是公钥，一把是私钥。非对称加密常见的用法有两种：一是公钥加密，私钥解密；另外一种就是私钥加密，公钥解密。两种方式，应用场景各有不同。鹅师傅举个例子说明：隔壁的女神如花准备用“情书招亲”的方式挑选夫婿，广邀村里的有志青年前来大展身手。她在家门口设置了一个信箱，该信箱由“情书投递”和“结果公布”两部分组成。前来应聘的青年可直接将写好的情书放进“情书投递”处，但打开“情书投递”处取出里面的情书需要密码，该密码只有如花一人有，以确保所有的情书内容只有如花一人知道，避免相互抄袭，确保公平竞争。此处的信箱就相当于公钥，是公开的，谁都可以往里放信件，相当于谁都可以用公钥来加密。但打开信箱的密码只有如花自己有，相当于解密的私匙，由加密者自己持有。这是公钥加密，私钥解密的应用场景。两天后，如花已挑中如意郎君张三，准备公布结果，他把张三的名字写在纸上放进“结果公布”信箱，往该信箱里投递需要密码。该密码同样只有如花一人有，避免街对面的东施嫉妒使坏，将奇丑无比的李四放进邮箱内，让如花错嫁李四。但从该信箱里取出邮件却不需要密码，直接倒出来即可，该方法如花已事先告诉了所有人，众人用该方法顺利取出了招亲结果。此处投信的密码相当于私钥，而取信的方法相当于公钥，用私钥加密的目的是为了确保该结果确实是如花发布的，实际上是进行签名，而不是为了加密。这是私钥加密，公钥解密的应用场景。3勒索病毒都是怎么来进行加密的？首先病毒制作者A基于RSA或椭圆曲线的原理，在自己电脑上生成私钥A和公钥A；然后在目标电脑B（也就是被植入了勒索病毒的电脑）上随机生成私钥B和公钥B；接着用公钥B把目标电脑B的文件进行加密，同时用公钥A加密私钥B；最后删除目标电脑B上的私钥B、公钥A以及数据。等被勒索的用户B支付完赎金后，病毒制作者可以通过自己手上的私钥A解出私钥B，再用私钥B来解密用户的数据。中了勒索病毒就像有人用一个非常非常复杂的锁，把你的房子锁上了。能解开这个锁的钥匙掌握在上锁的黑客手里，你是没有的，而且以你现在的开锁技术，也没办法在零损失的前提下强行把这个锁破开。既然你无法打开这把“锁”，那有没有其他专业的“开锁匠”能解开呢？我们又如何发现自己“房子”被上的是哪一类“锁”？首先，我们可以通过下面3种情况来判断自己的电脑是否中了勒索病毒：①服务器、数据库无法正常运作，比如服务器无法登录；②访问服务器、数据库出现勒索提示信息，比如连接服务器或数据库时出现索要赎金信息；③电脑文件名被修改，添加后缀名，比如在文件名后添加随机字符。如果确定自己电脑中了勒索病毒，那么根据被加密文件的后缀名和勒索信息，我们就可以在网络上搜索到自己中的是哪一种病毒。但目前来说，大部分的勒索病毒基本是无解的，有两种情况：1、主要针对数据库服务的勒索病毒，这种非加密方式，它会删除数据，然后插入条含有勒索信息的记录。这种叫做欺骗式勒索。也就是说，即使你按黑客要求交了赎金，你的数据会瞬间被删除，再也没办法恢复了。因为这类勒索病毒都是批量入侵的，如果把成千上万入侵的数据都打包备份存储好，他们就得需要庞大的服务器来支撑，这对攻击成本来说，是大大的不利。2、另外一种是真的把文件加密的形式，Wecanhelp就归属这种了，这种勒索病毒从加密原理来看，没有私钥的情况下基本是无解。那么有没有可以破解的情况呢？也是有的！1、勒索病毒作者主动公开私钥，比如著名勒索病毒Petya作者可能是为了跟横扫欧洲的变种Petrwrap划清关系(该变种影响严重，可能是怕被牵连)公开了私钥；2、勒索病毒自身存在漏洞被破解的情况，比如说Gryphon就是由于加密算法存在漏洞而被暴力破解；3、另外网上也有各种可以解密的方法。有的只是放出来骗人的方法；有的虽然能解密，但只能恢复部分数据。如果非要寻求网上的解密方式，鹅师傅建议大家选择安全厂商提供发布的工具，这样可信度会更高。4应对勒索病毒百宝箱，需要可收藏识别类工具这类工具主要用于识别和检索各类已知的病毒。1、腾讯勒索病毒搜索引擎：https://guanjia.qq.com/pr/ls/2、VenusEye勒索病毒搜索引擎：https://lesuo.venuseye.com.cn/3、奇安信勒索病毒搜索引擎：https://lesuobingdu.qianxin.com/4、深信服勒索病毒搜索引擎：https://edr.sangfor.com.cn/#/information/ransom_search解密类工具这类工具主要是提供一些根据已知的病毒制作的杀毒、解密、备份等软件。1、腾讯哈勃勒索软件专杀工具：https://habo.qq.com/tool/index2、火绒勒索病毒解密工具集合：http://bbs.huorong.cn/thread-65355-1-1.html3、瑞星解密工具下载：http://it.rising.com.cn/fanglesuo/index.html4、nomoreransom勒索软件解密工具集：https://www.nomoreransom.org/zh/index.html5、卡巴斯基免费勒索解密器：https://noransom.kaspersky.com/5自救指南：勒索病毒当真防不胜防吗？以前我们总抱有侥幸心理，觉得自己电脑的资料不重要，不值得黑客一窃。但随着勒索病毒的黑产兴起，传播范围的不断扩大，只要你身处互联网中就很难做到独善其身。对于企业来说，网络安全防护是日常必不可少的重要一环。但对个人来说，自我的防护措施就可以忽略了吗？答案肯定是不行的。鹅师傅强烈建议，日常多读一读勒索病毒自救指南：1、目前网络上的杀毒和解密工具仅仅针对已知的病毒，所以必须提高自身的安全意识，事前防御更为重要！2、坚持三不三要原则：不上钩、不打开、不点击，要备份、要确认、要更新。3、尽量不要安装盗版软件！盗版软件很容易给黑客分子悄悄“开后门”，所以一定要安装和使用可信来源的应用服务，并及时修复操作系统和应用服务的漏洞。4、根据鹅师傅上面介绍的病毒识别方法和解密方法尝试自我恢复和解密数据，而且事后必须更要重视电脑日常的安全加固，多检测，多杀毒，多备份。5、当然，最重要的，赶紧报警寻求警察的帮助啦！发布于 2020-10-17 14:34勒索病毒黑色产业链勒索者病毒赞同 8添加评论分享喜欢收藏申请转载文章被以下专栏收录灰产圈互联网黑灰产业链研究第一媒体 | 官方公号：

学习总结之——敲诈勒索罪专题整理 - 知乎

学习总结之——敲诈勒索罪专题整理 - 知乎首发于法边杂谈切换模式写文章登录/注册学习总结之——敲诈勒索罪专题整理锋爷思密达法律人一、敲诈勒索罪的定义敲诈勒索罪，是指以非法占有为目的，对他人实行威胁（恐吓），索取公私财物数额较大或者多次敲诈勒索的行为。敲诈勒索罪（既遂）的基本结构是：对他人实行威胁—对方产生恐惧心理—对方基于恐惧心理处分财产—行为人或第三者取得财产—被害人遭受财产损失。二、敲诈勒索罪犯罪构成要件构成要件的内容为，使用胁迫手段，使对方产生恐惧心理，进而取得财产。（一）行为表现为敲诈勒索他人财产（财物或财产上的利益）所谓敲诈勒索，是指向对方实施一定暴力或者胁迫，要求其处分财产的行为。但是，如果暴力或者以暴力相威胁的行为达到了足以压制他人反抗的程度，则构成抢劫罪。1.暴力能够成为敲诈勒索罪中的恐吓行为。因为行为人实施了一定的暴力后，就对被害人形成了如果不交付财产就可能继续实施暴力的恐吓。敲诈勒索罪中的暴力，不需要足以压制被害人的反抗，只要足以使被害人产生恐惧心理即可。2.暴力可以直接针对被害人实施，但针对第三者实施时形成了对被害人的胁迫的，也不影响敲诈勒索罪的成立。行为人加害自己身体的行为，形成了对被害人的恐吓时，可能成立敲诈勒索罪。例如，行为人先向自己身上划一刀，旨在表明如果被害人不交付财物就加害被害人的，也能成立敲诈勒索罪。但是，单纯加害自己的行为，不成立敲诈勒索罪。这需要联系案件的具体情况作出合理判断。（二）敲诈勒索罪中的胁迫，是指以恶害相通告，以使对方产生恐惧心理1.恶害的种类。恶害的种类没有限制，包括对被害人（广义）的生命、身体、自由、名誉等进行胁迫。2.通告加害对象。所通告的被加害的对象既可以是交付财物的被害人，也可能是与被害人有密切关系的第三人。例如，向男子声称如不交付财产就加害其恋人的，属于敲诈勒索。但是，如果所通知的被加害人与对方没有任何关系，因而不可能使对方产生恐惧心理的，则不成立敲诈勒索。3.通告方法。通告的方法，既可以是明示的，也可以是默示的，既可以是语言，也可以是文书或者动作、举动。既可以直接通告被害人，也可以通过第三者转告被害人。这种恶害，只要足以使人产生恐惧心理即可。4.恶害实现方式。行为人所告知的恶害是将由行为人自己实现，还是将由第三者实现，也在所不问。但由第三者实现时，行为人必须使对方知道行为人能够影响第三者，或者让对方推测到行为人能影响第三者。向被害人声称“如不交付财物就会遭天打雷劈”的，一般不成立敲诈勒索罪。但神汉、巫婆等人利用迷信恐吓迷信者的，则有成立敲诈勒索罪的可能性。在这种情况下，不要求行为人与第三者有共谋关系。另一方面，敲诈勒索罪中的恶害是不需要实现的，也不要求行为人具有实现恶害的真实意思。通告虚伪事实使对方产生恐惧心理进而交付财物的，也成立本罪。5.胁迫不需要前提。敲诈勒索罪中的胁迫，并不以行为人事先制造事端、借口为前提，行为人没有任何根据直接胁迫被害人交付财物的，也成立敲诈勒索罪。6.不要求恶害的实现自身具有违法性。例如，行为人知道对方的犯罪事实，以向司法机关告发进行胁迫勒索财物。尽管向司法机关告发是合法的，但依然成立敲诈勒索罪。甲得知乙犯了抢劫罪后，为了不法取得乙所抢劫的财物，以向警察告发相胁迫，乙产生恐惧心理，将所抢劫的财物一部或者全部交付给甲的，对甲应认定为敲诈勒索罪。7.困惑，不等于恐惧心理。单纯使被害人产生困惑的行为，不成立敲诈勒索罪。例如，盗窃他人车牌后告知对方，如果交付200元即可返还车牌。对此，只能认定为盗窃，不能认定为敲诈勒索。再如，拾得他人财物后告知对方，如果不给付一定的酬谢费就不返还财物的，也不成立敲诈勒索；但是，如果声称不给付一定的酬谢费就毁坏财物的，则属于敲诈勒索。tips：困惑与恐惧的区别主要是权益实现方式便利程度之不同，不在于人身、财产的损失。（三）敲诈勒索的行为表现敲诈勒索表现为使用暴力、胁迫手段使对方产生恐惧心理进而处分财产，使行为人或者第三者取得财产。1.处分财产的人必须是被胁迫者。与诈骗罪一样，也存在三角恐吓的情形。即被胁迫者与财产的被害人不是同一人。在这种场合，被胁迫者必须具有处分被害人财产的权能或地位。如果胁迫行为完全没有使对方产生恐惧心理，对方基于怜悯心或者其他原因交付财产给行为人的，则只构成敲诈勒索罪的未遂。2.胁迫行为使对方产生恐惧心理后，告知警察，警察为了逮捕行为人而让对方前往约定地点交付财物的，也应认定为敲诈勒索未遂。因为敲诈勒索罪中的被胁迫者必须有处分财产的行为，而这种情况下的“交付财产”并不是处分财产的行为，只是协助警察逮捕罪犯的行为。即使由于警察的失误，导致行为人取得了财物，也只能认定为敲诈勒索未遂与侵占罪（或盗窃罪）。3.处分财产既可以表现为被胁迫者直接交付财产，也可以表现为被迫容忍、默许行为人取得财产。（四）犯罪形态敲诈勒索罪的着手时期为开始实施胁迫行为之时；行为人排除被害人对财产的占有，将财产设定为自己或第三者占有时，就是本罪的既遂之时。敲诈勒索不动产的，只要对不动产进行了转移登记，或者行为人实际上支配了不动产，就应认定为既遂。根据本书的观点，多次敲诈勒索但每次都未遂的，也只能认定为敲诈勒索的未遂犯。三、敲诈勒索罪的追诉标准《北京市高级人民法院关于适用办理敲诈勒索刑事案件司法解释的若干意见》（2013年8月6日）（一）量刑数额标准三千、六万、四十万。全市法院审理刑法第第274条规定的敲诈勒索刑事案件，“数额较大”认定标准为三千元以上，“数额巨大”认定标准为六万元以上，“数额特别巨大”认定标准为四十万元以上。（二）多次敲诈勒索的；2011年5月1日施行的《中华人民共和国刑法修正案（八）》增加该情形。（三）追诉标准减半情形具有《办理敲诈勒索刑事案件司法解释》第二条规定的下列七种情形之一的，“数额较大”的认定标准为一千五百元以上：（1）曾因敲诈勒索受过刑事处罚的；（2）一年内曾因敲诈勒索受过行政处罚的；（3）对未成年人、残疾人、老年人或者丧失劳动能力人敲诈勒索的；（4）以将要实施放火、爆炸等危害公共安全犯罪或者故意杀人、绑架等严重侵犯公民人身权利犯罪相威胁敲诈勒索的；（5）以黑恶势力名义敲诈勒索的；（6）利用或者冒充国家机关工作人员、军人、新闻工作者等特殊身份敲诈勒索的；（7）造成其他严重后果的。四、敲诈勒索罪的认定（一）正确区分权利行使与敲诈勒索罪的界限在不少情况下，行为人为了行使自己的权利而使用胁迫手段。（1）以胁迫手段取得对方不法占有的自己所有的财物的，不应认定为敲诈勒索罪。但是，如果B盗窃了A的此财物，A采取胁迫手段取得B的彼财物的，应认定为敲诈勒索罪。tips：你拿了我的，我胁迫要回来不算敲诈，但可能构成威胁人身安全。你拿别人的，胁迫要过来，就是敲诈勒索。（2）债权人为了实现到期债权，对债务人实施胁迫的，应如何处理？我国司法实践上一般采取无罪说。本书原则上采取无罪说，即如果没有超出权利的范围，具有行使实力的必要性，而且其手段行为本身不构成刑法规定的其他犯罪，就应认为没有造成对方财产上的损害，不宜认定为犯罪。但是，当债务人一方具有期限的利益、清算的利益等值得保护的利益，或者债权的内容未确定，债务人在民事诉讼中存在请求的正当利益，对方使用胁迫手段取得财物的，或者胁迫手段获取的财物明显超出债权范围的，依然可能成立敲诈勒索罪。（3）损害赔偿请求权的行使，原则上不成立敲诈勒索罪。例如，行为人从生日蛋糕中吃出苍蝇，以向媒体反映或者向法院起诉相要挟，要求生产商赔偿的，即使所要求的数额巨大乃至特别巨大，也不成立敲诈勒索罪。因为行为人的手段与目的均具有正当性，至于赔偿数额，则取决于双方的商谈。但是，如果行为人以加害生产商的生命、身体、财产等相要挟，而且所要求的赔偿数额明显超过应当赔偿的数额的，由于手段不具有正当性，目的超出了应当赔偿的范围，应以敲诈勒索罪论处。（4）行为人向有关部门反映权利受侵害的事实，有关部门主动提出给予赔偿或者补偿，行为人接受赔偿或者补偿的，不成立任何犯罪。（二）正确处理敲诈勒索罪与抢劫罪的关系相同点：二者都以非法占有为目的，不仅都可以使用威胁方法，而且都可能使用暴力方法。不同点：1.抢劫罪表现为当场以暴力侵害相威胁；敲诈勒索罪的威胁方法基本上没有限制。2.抢劫罪中的暴力、胁迫必须达到足以压制他人反抗的程度；敲诈勒索罪的暴力、胁迫只要足以使被害人产生恐惧心理即可。因此，胁迫被害人当场交付财物，否则日后加害被害人的，宜认定为敲诈勒索罪。行为人对被害人实施了没有达到抢劫程度的暴力、胁迫，被害人交付财物的，只能认定为敲诈勒索罪。行为人对被害人实施了足以压制其反抗的暴力、胁迫后，迫使其日后交付财物的行为，宜认定为抢劫罪。至于以什么为基准判断暴力、胁迫等行为是否达到了足以压制对方反抗的程度。暴力、胁迫等达到足以压制被害人的反抗，是客观的构成要件要素，必须进行客观的判断。但这种客观的判断，不可能是一般性的抽象判断，只能是通过考察暴力、胁迫的程度、样态、手段、时间、场所、行为人与被害人的人数、年龄、性别等因素进行的具体判断。如果被害人胆小，行为人的暴力、胁迫虽然不能压制一般人的反抗，但事实上已经压制了被害人的反抗，就应认定符合抢劫罪的构成要件。如果行为人知道被害人胆小，则能肯定行为人具有抢劫罪的故意，进而认定为抢劫罪；反之，如果行为人不知道被害人胆小，则应否定行为人具有抢劫罪的故意，只能认定为敲诈勒索罪。如果被害人胆大，行为人的暴力、胁迫等行为虽然足以压制一般人的反抗，但未能压制被害人的反抗，就只能认定为抢劫未遂（可能同时触犯敲诈勒索罪）。3.敲诈勒索罪与抢劫罪不是对立关系，凡是符合抢劫罪的犯罪构成的行为，必然符合敲诈勒索罪的犯罪构成（数额要求除外），但符合敲诈勒索罪的犯罪构成的行为，不一定符合抢劫罪的犯罪构成。因此，不应当简单地说：“抢劫罪是以足以压制他人反抗程度的暴力、胁迫手段强取财物，敲诈勒索罪只能是以没有达到足以压制他人反抗程度的暴力、胁迫取得财物。”而应当说：“敲诈勒索罪的成立，不要求暴力、胁迫手段达到足以压制他人反抗的程度；如果暴力、胁迫手段达到足以压制他人反抗的程度，则以抢劫罪论处。”（三）正确处理敲诈勒索罪与绑架罪的关系客观上没有绑架他人，但谎称绑架他人进而勒索财产的，仅成立敲诈勒索罪。例如，甲、乙合谋后，由与丙相识的甲将丙骗往外地游玩，乙给丙的家属打电话，声称已经“绑架”了丙，借以要求“赎金”的，不成立绑架罪，而成立敲诈勒索罪（可能同时触犯诈骗罪）。实施绑架行为，向被绑架人的近亲属等勒索了财物的，仅认定为绑架罪，不另认定为敲诈勒索罪。（四）正确处理敲诈勒索与强迫交易的关系最高人民法院2005年6月8日《关于审理抢劫、抢夺刑事案件适用法律若干问题的意见》指出：“从事正常商品买卖、交易或者劳动服务的人，以暴力、胁迫手段迫使他人交出与合理价钱、费用相差不大钱物，情节严重的，以强迫交易罪定罪处罚；以非法占有为目的，以买卖、交易、服务为幌子采用暴力、胁迫手段迫使他人交出与合理价钱、费用相差悬殊的钱物的，以抢劫罪定罪处刑。在具体认定时，既要考虑超出合理价钱、费用的绝对数额，还要考虑超出合理价钱、费用的比例，加以综合判断。”这种观点试图通过价格、费用是否悬殊区分强迫交易罪与抢劫罪。其实，本罪与抢劫罪、敲诈勒索罪之间不是对立关系，符合本罪的犯罪构成时，并不当然排除抢劫罪、敲诈勒索罪的成立。也不能因为刑法规定了强迫交易罪，就认为凡是有交易的行为都不成立抢劫罪与敲诈勒索罪。换言之，强迫交易行为完全可能同时触犯抢劫罪、敲诈勒索罪，因而属于想象竞合犯，应从一重罪论处。例如，教师以暴力行为强迫学生以200元购买其价值2元的圆珠笔的行为，应当认定为抢劫罪。在处理本罪与抢劫罪、敲诈勒索罪的关系时，需要明确的是各自的犯罪构成内容，而不是相互间的对立点。例如，轻微的暴力、胁迫行为，并没有压制被害人反抗的，不可能成立抢劫罪，只能成立本罪或者敲诈勒索罪。五、敲诈勒索罪的处罚及量刑（一）《刑法》第二百七十四条【敲诈勒索罪】敲诈勒索公私财物，数额较大或者多次敲诈勒索的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金；数额巨大或者有其他严重情节的，处三年以上十年以下有期徒刑，并处罚金；数额特别巨大或者有其他特别严重情节的，处十年以上有期徒刑，并处罚金。（二）《关于常见犯罪的量刑指导意见》（最高人民法院2013年12月23日发布，2014年1月1日起实施；2017年3月9日印发修订稿并于2017年4月1日起施行。法发〔2017〕7号）四、常见犯罪的量刑（十）敲诈勒索罪1.构成敲诈勒索罪的，可以根据下列不同情形在相应的幅度内确定量刑起点：（1）达到数额较大起点的，或者两年内三次敲诈勒索的，可以在一年以下有期徒刑、拘役幅度内确定量刑起点。（2）达到数额巨大起点或者有其他严重情节的，可以在三年至五年有期徒刑幅度内确定量刑起点。（3）达到数额特别巨大起点或者有其他特别严重情节的，可以在十年至十二年有期徒刑幅度内确定量刑起点。2.在量刑起点的基础上，可以根据敲诈勒索数额、次数、犯罪情节严重程度等其他影响犯罪构成的犯罪事实增加刑罚量，确定基准刑。多次敲诈勒索，数额达到较大以上的，以敲诈勒索数额确定量刑起点，敲诈勒索次数可作为调节基准刑的量刑情节；数额未达到较大的，以敲诈勒索次数确定量刑起点，超过三次的次数作为增加刑罚量的事实。发布于 2019-11-01 10:39法律敲诈勒索罪赞同 13添加评论分享喜欢收藏申请转载文章被以下专栏收录法边杂谈关注社会热点、难点法律问题。重点涉及公安执法

判了！勒索病毒作者获刑6年多 - 知乎

判了！勒索病毒作者获刑6年多 - 知乎首发于灰产圈切换模式写文章登录/注册判了！勒索病毒作者获刑6年多灰产圈山东道格拉斯网络科技有限公司总经理大家好每天都在使用智能手机、电脑的你，是否遇到过勒索病毒？勒索病毒是一种新型的电脑病毒，主要以程序木马、网页挂马、邮件等形式感染电脑系统，然后对电脑里的文件进行加密。黑客一般会在电脑里留下支付赎金的方式。面对被加密的文件、电脑，大部分的用户往往束手无策、没法解密。不知道大家还记不记得 2017 年 5 月那场席卷全球的 WannaCry 勒索病毒？该病毒被称为近年来最具有破坏力的敲诈勒索病毒，通过利用 Windows 的漏洞进行传播，包括政府、医院、学校、银行等机构在内的电脑也遭到了攻击，当年影响了全球超过 150 个国家的 230,000 台电脑。当时国内不少学校也中招了，其中一些临近毕业的学生，因为这个病毒损失了毕业论文的文件，也不知道他们当年有没有顺利毕业。（鹅师傅在此他们心疼 30 秒）也许你在 2017 年没有遇上这个真会让人泪流满面的 WannaCry 勒索病毒。但鹅师傅想说的是，勒索病毒距离我们并不遥远，黑客制作勒索病毒并不困难，传播勒索病毒的手法也越来越多样。高中辍学 95 后独自开发勒索软件2019 年 9 月 3 日，广东省东莞市第三人民法院对一个勒索病毒案件进行了宣判。庭审现场的罗某被告人罗某是一个年纪轻轻的 95 后，因为传播勒索病毒，而被判处有期徒刑六年六个月。你以为这个 25 岁的小哥，是计算机专业毕业，或者在 IT 行业工作的？不不不，这位小兄弟在高中就辍学了。虽然文化程度是高中没毕业，但凭借兴趣个人钻研，已经掌握了研发木马病毒，入侵计算机系统的能力。2018 年 11 月，他租用河南郑州某网络公司的服务器，并将电脑病毒植入一个软件模块，接着在相关论坛发布。只要是下载了这个软件的计算机都会被感染，随后病毒软件运行，计算机里的文件就会被加密，并弹出要求支付解密赎金的收款二维码，金额为 110 元。另外，这个病毒还会窃取用户的电商平台、社交平台的账号密码。这就是罗某的作案过程和勒索手法。罗某使用自己的微信收款二维码来收勒索赎金，当时网络上还出现了“微信支付出现勒索病毒”的谣言。太冤了，这锅我们不背啊！！！被告人用了微信二维码来收钱而已。当时，微信已第一时间对所涉勒索病毒作者账户进行封禁、收款二维码予以紧急冻结。微信支付用户财产和账户安全不受任何威胁。感染电脑 2 万多台，被判六年半2018 年 12 月 1 日，有用户报告遇上了电脑感染病毒，并且遭到了勒索。在腾讯守护者计划安全团队的支持下，公安机关在 12 月 5 日，就将被告人罗某抓获。据鹅师傅了解，罗某共收到了 37 笔赎金，其中一笔为 30 元，其他均为110 元，共非法获利 3990 元。然而，司法鉴定表明，罗某所开发的病毒程序共感染了 27939 台电脑主机，并对用户主机中存储的数据进行加密，为未授权地修改、干扰，故为破坏性程序。病毒通过是怎么窃取用户电脑里电商、社交平台的账号密码的呢？通过暗中监控用户键鼠操作，共记录了 21546 条键盘鼠标操作记录。虽说年纪轻轻的罗某只是非法牟利 3990 元，但他的行为违反了国家规定，故意制造、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果特别严重。法院认为，罗某的行为已构成破坏计算机信息系统罪，期间还进行盗窃、敲诈勒索，同时也触犯敲诈勒索罪、盗窃罪。最终根据被告人罗某的犯罪情节及悔罪表现，法院判处其有期徒刑六年六个月。听到这个审判结果，鹅师傅也是一时语塞。20 多岁的罗某，正是青春年少，纵使学历不高但也能自学掌握一定的计算机技能。有这样的体能、智商、兴趣以及计算机水平，正儿八经找个工作，每个月肯定能有不错、稳定的收入。干点什么不好，怎么就脑筋短路去做开发、传播勒索病毒的黑客呢？如今大把青春年华，就只能去铁窗里度过了。希望和罗某类似的朋友们，有空要多了解法律知识，在妄想空手套白狼的时候，先读读《刑法》这本书。随着互联网成为现代社会的基础设施，计算机犯罪现象在频发。这种犯罪不仅给被害人造成经济损失，同时也在扰乱社会的经济秩序，破坏社会和谐，甚至对国家安全、社会文化等构成威胁，因此司法机构对计算机犯罪也是绝不姑息的。互联网平台也在持续提高治理和打击网络黑产的系统能力。为了更好地防范勒索病毒，安全上网，鹅师傅有几个 tips 想给大家：不打开陌生或可疑邮件、网络链接；不下载安装来路不明、可以的软件不同平台使用不同密码；各个平台使用复杂的密码并定时修改；及时更新漏洞补丁；安装杀毒软件及时更新病毒库最后，物以类聚，人以群分，接触更优秀的人也可以让你成为同样的人，欢迎关注官方公号：灰产圈灰产圈:培养你的发散性思维解密互联网骗局、实战揭秘互联网灰产案例、网赚偏门项目解析、分享网络营销引流方案。深挖内幕、曝光各类套路。发布于 2019-09-09 14:52勒索病毒木马黑色产业链赞同 3013 条评论分享喜欢收藏申请转载文章被以下专栏收录灰产圈互联网黑灰产业链研究第一媒体 | 官方公号：

勒索病毒 | 普通人“自救指南” - 知乎

2020国内外重大网络攻击及敲诈勒索事件一览_澎湃号·政务_澎湃新闻-The Paper

国内外重大网络攻击及敲诈勒索事件一览_澎湃号·政务_澎湃新闻-The Paper下载客户端登录无障碍+12020国内外重大网络攻击及敲诈勒索事件一览网信天津2020-05-27 02:16来源：澎湃新闻·澎湃号·政务 ∙ 澎湃号·政务 >字号以下文章来源于信息安全与通信保密杂志社，作者Cismag 信息安全与通信保密杂志社网络强国建设的思想库安全产业发展的情报站创新企业腾飞的动力源随着我国云计算、大数据、物联网、工业互联网、人工智能等新技术新应用大规模发展，极大便利生活的同时，受黑产利益驱使的黑客也将魔爪伸向了这里，网络空间威胁和风险日益增多。根据《2019威胁态势分析》报告，到2021年，全球因为勒索攻击造成的损失将达到200亿美元，是2015年3.25亿美元的61倍之多，2019年中国的勒索病毒感染量已经跃居全球榜首，占总数的20%。此外，勒索病毒的发展将呈现多平台感染、产业化、针对性、创新性等特征，勒索软件即服务（Ransomware as a Service）正在成为黑产的重要模式之一。可以说，网络攻击、黑客组织将会一直存在于网络世界中。下面，我们来看看近期国内外发生的网络攻击和勒索事件。1国内网络攻击事件B站知名UP主“党妹”遭勒索攻击，数百G视频素材丢失损失惨重4月27日，哔哩哔哩视频网站拥有五百万粉丝的UP主“机智的党妹”发布消息称，自己被黑客勒索了，根据她的介绍是因为自己的视频素材被黑客盗取，对方要求支付“赎金”才愿意将素材还回来。在被攻击之前，公司的杀毒软件没有预警，黑客通过穷举法就轻松破译了他们的密码来获取权限，可以说公司的安全意识非常薄弱，没有任何安全防护措施，连IT人员都是现招的，这才给黑客有了可乘之机。在勒索事件发生后，他们第一时间报警，但是因为视频素材的经济价值很难评估，最终无法立案。除非交够一定数额的赎金恢复数据，黑客还放狠话建议不要找数据恢复公司，否则有可能继续被勒索。据悉，2019年国外论坛某用户遭到此勒索病毒攻击花了3000美元才恢复了所有数据。A股惊现庄家“盗号接盘”：多位股民账户异地清空4月2日，多地投资者在同花顺的股票账户集体被盗，持仓股被清空后全仓买入了济民制药。第二天（4月3日），济民制药一字跌停，投资者蒙受了损失。多个投资者表示，同花顺软件存在漏洞，异常登录未尽到核实、提醒义务。同花顺近日午间回复记者表示，与同花顺相关的内容完全与事实不符，部分投资者因为在炒股微信群里被骗或其他各种原因泄露了证券公司的交易账号和密码，导致盗买盗卖的发生，建议立即报警。国内部分地区网络出现中间人攻击：GitHub、京东等被劫持3月26日，据网友反馈有攻击者正在大规模的发起中间人攻击劫持京东和 GitHub 等网站，目前受影响的主要是部分地区用户，但涉及所有运营商。此次攻击似乎与路由广播有关，通过骨干网络进行劫持 443端口，目前经测试 DNS 系统解析是完全正常的。例如中国移动、中国联通、中国电信以及教育网均可复现劫持问题，而国外网络访问这些站点并未出现异常情况。由于攻击者使用的自签名证书不被所有操作系统以及浏览器信任，因此用户访问这些网站时可能会出现安全警告。从目前攻击情况来看此次发起攻击的黑客很可能是初学者，而攻击目的很有可能只是在测试但没想到规模如此大。中毒新闻行动：黑客利用后门对香港iOS用户发起水坑攻击 2月19日，安全研究人员发现了一个针对iOS用户的水坑攻击。其URL指向一个恶意网站，该网站具有指向不同站点的三个iframe。其中一个iframe可见，并指向合法的新闻网站，另一个iframe用于网站分析，而第三个则指向托管iOS漏洞利用主要脚本的网站。攻击者通过在香港流行的论坛上发布诱饵式的头条新闻以传播恶意链接，这些链接会将用户引导到真实的新闻网站，但这些网站因为被注入了隐藏的iframe，用户访问后会加载并运行恶意软件。此外，还发现了第二种水坑攻击：复制合法站点并注入iframe。该攻击似乎已于1月2日开始，持续到3月20日。但目前无法确定到这些网站的链接的分发位置。新型“智能”僵尸网络已经入侵上千台华硕、D-Link路由器近日，安全研究人员透露，在过去的三个月中，一个新的僵尸网络已经破坏了上千台ASUS、D-Link和Dasan Zhone路由器，以及诸如录像机和热像仪之类的物联网（IoT）设备。该僵尸网络称为Dark_nexus，其技术和战术类似于以前的危险IoT威胁，例如Qbot银行恶意软件和Mirai僵尸网络。但是，Dark_nexus还配备了一个创新模块，用于实现持久性和检测逃避，研究人员说“该技术使其他[僵尸网络]感到羞耻”。2国外网络攻击事件AMD下一代旗舰GPU源代码被盗，攻击者威胁索要1亿美元近期，AMD芯片设计师透露，黑客窃取了即将推出的GPU源码，其中一些文件已经在网上发布。入侵者称已经拿到了包括Navi 10、Navi 21和Xbox Series X内的Arden GPU的源代码。GitHub已将文件撤下，嚣张黑客仍在叫卖源码。黑客盗取源码后联系AMD，索要1亿美元赎金，扬言称如果不给钱，就“免费帮你给这三款GPU开源”。这事儿发生在去年年底，AMD自然是不能答应的。黑客也是红脸儿女（汉）子，当即履行承诺，真就在GitHub上公布了部分代码，颇有点杀鸡儆猴的意味。AMD这才赶紧出来澄清说这都是些无关痛痒的代码呀，已经报警啦，并通过法律手段迫使GitHub紧急删掉了泄露的代码。欧洲能源巨头遭勒索，用1000万欧元换10TB数据近日，攻击者利用Ragnar Locker勒索软件袭击了葡萄牙跨国能源公司EDP（Energias de Portugal），并且索要1580的比特币赎金（折合约1090万美元/990万欧元）。对此，EDP尚未作出回复。在这次攻击过程中，Ragnar Locker勒索软件的幕后黑手声称已经获取了公司10TB的敏感数据文件，如果EDP不支付赎金，那么他们将在公开泄露这些数据。DarkHotel重现江湖，世界卫生组织遭遇黑客攻击近日，据路透社报道，一个黑客组织于本月初袭击了WHO，试图从工作人员那里窃取密码。WHO首席信息安全官弗拉维奥·阿吉奥（Flavio Aggio）告诉路透社，这项工作没有成功，黑客的身份未知。追踪可疑互联网域名注册活动的黑石法律集团网络安全专家兼律师亚历山大·乌贝利斯（Alexander Urbelis）向路透社报道了这种未遂黑客行为。Urbelis表示，他是在3月13日前后发现这个活动的，当时他一直关注的一个黑客组织设置了一个模仿WHO内部电子邮件系统的恶意站点。世卫组织疫情期间遭受五倍网络攻击，457个邮箱泄露已重置密码当地时间4月23日，世界卫生组织（WHO）在官网发表声明，称疫情期间受到的网络攻击数量急剧增加，为去年同期的五倍。本周内，约有450个世卫组织及数千名相关工作人员的邮箱、密码遭到泄露。SITE情报小组（一家专门监视在线极端主义和恐怖组织的机构）最早发现了这些泄露数据。尽管无法验证真伪，但他们称，这批数据是上周日和周一放出的，并且几乎立刻就被黑客和极端分子利用了。经过世卫组织核查，6835对邮箱和密码中，只有457对正在使用，暂时未被侵入。而且由于数据不是最近的，为旧系统中的数据，因此只会影响部分在职人员、退休人员和合作伙伴。冠状病毒疫情爆发期间，黑客持续攻击美国公共卫生部门据外媒报道，近日新型冠状病毒（COVID-19）在美国大爆发，美国公共卫生服务部（HHS）对冠状病毒的快速传播做出了部分关键应对措施。但在近日，美国重要公共卫生部门遭遇严重网络攻击，这促使国家安全委员会做出快速反应。三名知情人士在接受彭博社采访时表示，截至目前出现了多起黑客事件，旨在减慢该部门网络系统应对疫情的运行速度。德国政府遭COVID-19钓鱼攻击损失数千万欧元近日据外媒报道，德国西部北莱茵威斯特法伦州政府在未能建立安全的网站分发冠状病毒紧急援助资金后遭遇钓鱼攻击，损失了数千万欧元。据悉，网络犯罪分子创建了北威州经济事务部官方网站副本，随后他们使用电子邮件活动分发了指向该虚假网站的链接，吸引用户后并在用户注册时收集详细信息。随后，黑客代表真实用户向政府提出援助请求，但他们替换了要汇入资金的银行帐户。欧洲刑警逮捕数个SIM交换黑客组织：涉嫌盗窃数百万欧元据外媒报道，近日欧洲刑警在当地执法部门协同帮助下，于欧洲各地进行了一系列黑客逮捕行动，以打击流行的SIM卡交换攻击。欧洲刑警主管的欧洲网络犯罪中心（EC3）联合西班牙国家警察和西班牙国民警卫队以“ Operation Quinientos Dusim”行动的名义在贝尼多姆、格拉纳达和巴利亚多利德逮捕了12名犯罪嫌疑人。同时，罗马尼亚和奥地利的执法部门在“Operation Smart Cash”行动下也逮捕了另外一个类似犯罪团伙的14名成员。据悉，此次事件中的第一起黑客袭击是造成一系列SIM交换攻击中盗窃额超过300万欧元的罪魁祸首。随着人们的移动设备成为从社交媒体到银行帐户的所有内容中心枢纽，SIM卡交换攻击正在变得越来越普遍。特斯拉、波音、SpaceX供应商遭勒索软件攻击近日据外媒报道，总部位于科罗拉多州丹佛的精密零件制造商Visser Precision遭受勒索软件攻击。由于是特斯拉、波音、洛克希德·马丁公司和SpaceX等行业巨头的零件供应商，因此该事件引发了不小的震动。黑客威胁说，如果Visser不支付赎金，它们就会泄漏与这些公司有关的敏感文件，并且已经泄漏了Visser Precision与特斯拉和SpaceX签署的保密协议。Visser官方确认发生了“刑事网络安全事件”，可能导致未授权访问和盗窃公司敏感数据。Visser表示在公司业务正常运行的同时，已经开始进行全面的调查，以找出导致攻击的安全漏洞。目前，尚不清楚黑客如何设法渗透到Visser的计算机网络，但据推测，他们窃取了Visser数据并加密了计算机以索取赎金。如今，地下网络犯罪经济正在经历工业化浪潮，前所未有地蓬勃发展。网络犯罪已经成为一个巨大的“产业”，随着公司和消费者在数字世界投入数万亿美元，全球的犯罪分子都在积极进军网络。世界经济论坛（WEF）的《2020年全球风险报告》指出，网络犯罪将是未来十年（至2030年）全球商业中第二大最受关注的风险。它也是最有可能发生的第七大、第八大风险，网络安全的赌注从未如此高。企业的收入、利润和品牌声誉都已“在线”；关键任务基础架构正面临威胁；各国之间正在相互进行网络战和网络间谍活动。网络犯罪正在经历一次全球范围的工业化“革命”，网络犯罪组织们开始提供“正规”公司所做的一切：产品开发、技术支持、分销、质量保证甚至客户服务。网络犯罪分子抢劫然后出售新技术或秘密战略计划，这将使他们的买家在竞争者中占优势。黑客窃取军事机密、可再生能源创新知识产权等高价值信息。英国国家网络安全中心（NCSC）强调指出，有组织的网络犯罪分子通过分工合作来实现平稳运营。有“团队负责人”负责协调工作，并负责保持法律上领先一步。他们拥有大数据专家来处理被盗数据，开发者负责编写和更改恶意代码，以及“入侵专家”负责感染并渗透目标公司。此外，“呼叫中心专员”冒充技术支持人员打电话给受害者，在受害者的计算机上安装恶意软件，此外还有“财务专家”帮助洗钱。此外，网络犯罪比诸如抢劫银行等传统犯罪的风险更低。实际上，根据世界经济论坛的数据，在美国，逮捕网络犯罪分子并将其递交法庭的可能性低至0.05％。最后，世界经济论坛指出，面对网络犯罪经济的“蓬勃发展”，组织的网络安全支出大大落后于网络威胁的增长速度。来源：信息安全与通信保密杂志社原标题：《2020国内外重大网络攻击及敲诈勒索事件一览》阅读原文澎湃新闻报料：021-962866澎湃新闻，未经授权不得转载+1收藏我要举报查看更多查看更多开始答题扫码下载澎湃新闻客户端Android版iPhone版iPad版关于澎湃加入澎湃联系我们广告合作法律声明隐私政策澎湃矩阵澎湃新闻微博澎湃新闻公众号澎湃新闻抖音号IP SHANGHAISIXTH TONE新闻报料报料热线: 021-962866报料邮箱: news@thepaper.cn沪ICP备14003370号沪公网安备31010602000299号互联网新闻信息服务许可证：31120170006增值电信业务经营许可证：沪B2-2017116© 2014-2024 上海东方报业有限公

勒索病毒 | 普通人“自救指南” - 知乎

判了！勒索病毒作者获刑6年多 - 知乎

重大勒索病毒案告破！犯罪团伙借助ChatGPT优化程序，细节披露_澎湃号·政务_澎湃新闻-The Paper

病毒案告破！犯罪团伙借助ChatGPT优化程序，细节披露_澎湃号·政务_澎湃新闻-The Paper下载客户端登录无障碍+1重大勒索病毒案告破！犯罪团伙借助ChatGPT优化程序，细节披露2024-01-10 18:00来源：澎湃新闻·澎湃号·政务字号记者从浙江杭州市公安局获悉，杭州上城区网警近日破获一起重大勒索病毒案件，犯罪团伙成员均有网络安防相关资质，且在实施犯罪过程中借助ChatGPT进行程序优化。2023年11月20日，上城网警接到辖区某公司报案称，该公司名下相关服务器遭勒索病毒攻击，导致公司所有系统无法正常运行，对方勒索2万USDT（泰达币）。警方随即组建技术攻坚团队开展侦查。专案组对被攻击服务器进行细致勘验、提取木马程序进行分析和对嫌疑人勒索使用的虚拟币地址进行多维度研判，成功锁定2名犯罪嫌疑人。2023年11月30日，专案组在内蒙古自治区呼和浩特市成功抓获韩某、祁某，并于次日在北京抓获2名同案犯罪嫌疑人李某、郝某。至此，该团伙4名犯罪嫌疑人全部落网。该团伙4人均有网络安防相关资质，且有供职大型网络科技公司经历。他们对分工负责编写勒索病毒版本、借助ChatGPT进行程序优化、开展漏洞扫描、渗透获取权限、植入勒索病毒、实施敲诈勒索的犯罪事实供认不讳。勒索病毒攻击是与广大网民和企业日常生产生活密切相关的黑客类犯罪手法之一。黑客通过电子邮件、即时通讯工具等途径传播勒索病毒，以加密用户文件、破坏用户的计算机功能、公布或删除用户敏感数据为要挟，逼迫用户支付赎金，实施敲诈勒索。来源：新华社继续滑动看下一个轻触阅读原文网信晋中原标题：《重大勒索病毒案告破！犯罪团伙借助ChatGPT优化程序，细节披露》阅读原文特别声明本文为澎湃号作者或机构在澎湃新闻上传并发布，仅代表该作者或机构观点，不代表澎湃新闻的观点或立场，澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问http://renzheng.thepaper.cn。+1收藏我要举报查看更多查看更多开始答题扫码下载澎湃新闻客户端Android版iPhone版iPad版关于澎湃加入澎湃联系我们广告合作法律声明隐私政策澎湃矩阵澎湃新闻微博澎湃新闻公众号澎湃新闻抖音号IP SHANGHAISIXTH TONE新闻报料报料热线: 021-962866报料邮箱: news@thepaper.cn沪ICP备14003370号沪公网安备31010602000299号互联网新闻信息服务许可证：31120170006增值电信业务经营许可证：沪B2-2017116© 2014-2024 上海东方报业有限公

国内首个比特币勒索病毒案告破，三年获利500万-虎嗅网

资讯

24小时

源流

视频

妙投虎嗅智库

投稿

2020-10-14 16:48

国内首个比特币勒索病毒案告破，三年获利500万HyperAI超神经©关注近日，全国首个比特币勒索病毒开发者巨某，被江苏南通警方成功捕获。巨某在三年的时间里，利用网络勒索病毒，已非法获利超 500 万元人民币。本文来自微信公众号：HyperAI超神经（ID：HyperAI），作者：神经小兮，题图来自：视觉中国10 月 8 日，据江苏省南通市当地警方通报，在“净网 2020”行动中，成功侦破了一起特大网络敲诈案件，3 名犯罪嫌疑人巨某、谢某和谭某落网。犯罪嫌疑人巨某，作为多个比特币勒索病毒的制作者，已成功作案百余起，非法获取的比特币折合人民币 500 余万元。病毒勒索：想要数据？比特币来换近年来，网络勒索病毒十分猖獗，防不胜防。全球各地企业、机构、甚至高校都会遭遇勒索病毒攻击。今年 4 月，江苏省南通市启东某大型超市收银系统就遭到了攻击，系统被黑客植入勒索病毒，因此瘫痪，无法正常运转。超市立即进行了报案，南通市公安局与市局网安等部门组成专案组进行侦查。通过数据勘验，专案组找到一份告知如何解密文件的全英文留言，要求受害人必须支付 1 比特币（时价约合人民币 47000 元）作为破解费用。黑客勒索留言：若想恢复文件，就给我钱包里打 1 个比特币此外，网警经对该超市的服务器进行数据勘验，发现黑客锁定的服务器中所有文件均被加密，文件的后缀名都变成了“lucky”，文件和程序均无法正常运行。而在Ｃ盘根目录下有个自动生成的文本文档，留有黑客的比特币收款地址和邮箱联系方式。超市服务器数据文件后缀都变成了“lucky”随后，尽管专案组做了大量工作，却始终没有进展。线索无处可寻，侦查陷入僵局。根据南通市公安局网安支队三大队副大队长许平楠介绍，“由于比特币均通过境外网站交易，追查难度较大，发起攻击的始作俑者身份往往成谜。”随着价格的不断上涨以及其本身的匿名性，比特币深受众多不法分子的青睐超市求助数据恢复公司，竟成破案线索就在警方无处下手的时候，案情出现了一丝转机。由于超市被锁服务器中有重要工作数据，如果格式化则损失巨大。因此，超市工作人员联系了一家数据恢复公司，以低于被勒索（1 个比特币）的价格，委托其解锁加密文件。后来这家数据恢复公司，竟然神奇地对服务器数据进行了成功解密。警方获悉这一情况后，认为其中可能另有隐情。因为，一般来说，勒索病毒入侵电脑，对文件或系统进行加密，每一个解密器都是根据加密电脑的特征新生成的，没有病毒制作者的秘钥，几乎不可能完成解密。专案组成员、启东市公安局网安支队民警黄潇艇分析称，一般只有向勒索者支付比特币才能解密但经过进一步侦查之后，排除了数据恢复公司的嫌疑。原来该数据恢复公司之所以能够恢复数据，是因为他们通过邮箱与黑客取得联系，并支付 0.5 比特币获取了解锁工具，从而完成任务，赚取差价。专案组通过数据恢复公司而获取的新线索，以及深度研判分析，成功锁定犯罪嫌疑人的真实身份为巨某，至此案件侦破工作终于取得重大进展。5 月 7 日，专案组在山东威海将巨某抓获归案，并在其居住地查获作案用的电脑。在巨某的电脑中，民警找到了相关邮件记录、比特币交易记录以及相关勒索病毒工具的源代码。证据面前，巨某（右二）对自己的罪行供认不讳巨某交代称，他开发了一款网站漏洞扫描软件，在获得相关控制权限后，就针对性植入勒索病毒。为避免破解和逃避公安机关的追查，巨某相继开发升级了 4 种勒索病毒，索要难以追查的比特币作为赎金，使用的都是境外网盘和邮箱。在江苏警方抓获犯罪嫌疑人前，巨某已经向 400 多家网站和计算机系统植入敲诈勒索病毒，受害单位覆盖 20 多个省份，涉及企业、医疗、金融等多个行业。其中，苏州的一家上市公司，因为勒索病毒破坏了其相关工作使用的数据库文件，导致整个生产系统无法正常运行，直接停工三天，造成了巨大的经济损失。自学达人，却走上犯罪道路这位巨某，可以说是被敲诈勒索“事业”耽误了的自学达人。据了解，巨某生于内蒙古赤峰，今年 36 岁。他自幼就喜好并自学计算机知识，精通编程、网站攻防等技术。之后，他成立了工作室，利用自己开发的软件炒股。起初还赚了不少，可最后以亏损 300 多万元而告终。债台高筑的巨某，偶然的一次机会得知了用勒索病毒敲诈的发财门路，于是走上了开发病毒程序之路。从 2017 年下半年开始，巨某一直都在研究“撒旦”等勒索病毒，以及漏洞利用程序“永恒之蓝”，并编写了“satan_pro”病毒程序用于作案。2018 年就曾有中了该病毒的客户请求数据解密公司解密，其勒索留言如下：据巨某交代，为避免破解和逃避公安机关的追查，他在“satan_pro”之后，又陆续升级开发了“nmare”、“evopro”、“svmst”和“5ss5c”4 款勒索病毒，江苏南通受攻击的超市收银系统，就是被植入了“nmare”病毒。除了索要难以追查的比特币作为赎金，巨某还通过境外的网盘和邮箱将解密软件发送给受害人，并经常更换，到手的比特币也都是通过境外网站交易。对于巨某来说，自己天衣无缝的计划堪称“完美犯罪”，但终究没能逃过警方的侦查。在作案期间，与他合作的一家数据恢复公司经营者谢某、谭某，也均因涉嫌敲诈勒索罪被逮捕。不知道这位巨某如今身陷囹圄，会作何感想。如果他利用所学知识，做一名网络安全工程师，人生历程就完全不同了。或许在未来的某一天里，铁窗里的他还会想起很多年前，敲下第一行代码时振奋、纯粹的自己。新闻来源：新浪财经：《全国首个比特币勒索病毒制作者落网：曾迫使一上市公司停工3天》南通公安微信公众号：《全国首个比特币勒索病毒制作者落网！南通破获特大制作使用病毒实施敲诈勒索案》本文来自微信公众号：HyperAI超神经（ID：HyperAI），作者：神经小兮本内容为作者独立观点，不代表虎嗅立场。未经允许不得转载，授权事宜请联系hezuo@huxiu.com如对本稿件有异议或投诉，请联系tougao@huxiu.com正在改变与想要改变世界的人，都在虎嗅APP

虎嗅网京ICP备12013432号-1

京公网安备 11010502037938号

网络犯罪案例思考（三）——以全国首个比特币勒索病毒案为例 - 知乎

网络犯罪案例思考（三）——以全国首个比特币勒索病毒案为例 - 知乎切换模式写文章登录/注册网络犯罪案例思考（三）——以全国首个比特币勒索病毒案为例乔昕玥请拿出鼓动风云的勇敢净网2020 | 公安部督办全国首个比特币勒索病毒制作者落网今年4月，启东某大型超市的收银系统遭到攻击，被黑客植入勒索病毒，造成系统瘫痪无法正常运行。据办案民警透露，这是一起典型的使用勒索病毒破坏计算机信息系统，从而实施网络敲诈勒索的案件。这个案例，不由得让我联想到最近正在学习的最高检第九批指导性案例。其中的曾兴亮、王玉生破坏计算机信息系统案也出现了敲诈勒索的情节，但最后论处的是破坏计算机信息系统罪。这是为什么呢？我寻找了一些案例进行比对：最高人民检察院公布第九批指导性案例_中华人民共和国最高人民检察院国内首例微信二维码勒索病毒案宣判——“95后”黑客犯破坏计算机信息系统罪获刑6年6个月__南方plus_南方+首先我们来看两种罪名的定义：敲诈勒索罪，是指以非法占有为目的，对被害人使用恐吓、威胁或要挟的方法，非法占用被害人公私财物的行为。破坏计算机信息系统罪，是指违反国家规定，对计算机信息系统功能或计算机信息系统中存储、处理或者传输的数据和应用程序进行破坏，或者故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的行为。在这一起案件中，犯罪嫌疑人使用勒索病毒破坏计算机系统，使得该超市的收银系统瘫痪无法正常运行。属于故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的情形，构成破坏计算机信息系统罪的要件。而犯罪嫌疑人的目的行为又构成敲诈勒索罪。按照牵连犯的概念（行为人实施某一犯罪，其手段行为或结果行为又触犯其他罪名的情况），巨某构成破坏计算机信息系统罪和敲诈勒索罪的牵连犯，应从一重罪论处。不过本案是以敲诈勒索罪移送，尚未宣判，因此还得继续关注后续进程。值得注意的是，本案具有一大特点，就是犯罪嫌疑人索要的不是传统意义上的财物，而是比特币。由于比特币作为虚拟货币，在我国不受法律保护。因此，近年来，为了逃避公安机关的打击，以比特币作为非法所得的案件愈演愈烈，也在一定程度上加剧了暗网中的非法交易。http://www.ymcall.com/artinfo/828646274642236663.html上面是几天前央行行长周小川对于比特币和数字货币作出的表态：“我们主张研究新东西是好的，但除了市场动力之外，还要考虑全局，不是要钻政策空子，搞出爆发性的事件。在投入运行之前，一定要考虑到跟消费者、投资者的关系。如果在测试还不太充分的情况下，迅速扩大会产生问题。”央行认为，不慎重的产品要停一下，一些有前途的要经过测试后再推广。对比特币和人民币的交易我们是不支持的。周小川还表示，在考虑新技术的同时，在服务方向上要清楚，不太喜欢创造一种可投机的产品，让人有一夜暴富的幻想，而是要强调服务实体经济。要想搞数字货币，要考虑给消费者、零售市场带来效率、安全、隐私保护，要考虑大局，不要跟现行的金融秩序、金融稳定直接的相冲突。的确，一种新事物的推出，必定要慎重。天上没有掉下来的馅饼，任何的投资理财，都不能抱着一夜暴富的梦想，而是理性作出选择。发布于 2020-10-14 09:03网络犯罪比特币 (Bitcoin)赞同添加评论分享喜欢收藏申请

国内首个比特币勒索病毒制作者落网：自学钻研计算机知识，涉案500余万元 - IT之家

首页

IT圈

辣品

设置

日夜间

随系统

浅色

深色

主题色黑色

投稿

RSS订阅

收藏IT之家

软媒应用

App客户端

云日历

软媒魔方

业界

手机

电脑

测评

视频

苹果

iPhone

鸿蒙

软件

智车

数码

学院

游戏

直播

微软

Win10

Win11

专题

搜索

首页 > IT资讯>网络

国内首个比特币勒索病毒制作者落网：自学钻研计算机知识，涉案500余万元

2020/10/18 9:55:26

来源：IT之家

作者：远洋

责编：远洋

评论：

IT之家 10 月 18 日消息在 “净网 2020”专项行动中，江苏南通警方成功侦破一起使用勒索病毒实施网络敲诈勒索的案件，在山东威海市抓获比特币勒索病毒制作者。这是国内抓获的首名比特币勒索病毒制作者，截至案发，其已作案百余起，非法获利折合人民币 500 余万。另外，警方同时抓获了参与作案的两个嫌疑人。据南通公安微信公众号消息，今年 4 月，启东某大型超市的收银系统遭到攻击，被黑客植入勒索病毒，造成系统瘫痪无法正常运转。接到报案后，南通市公安局成立由启东公安和市局网安、法制等部门组成的专案组，开展破案攻坚。网络攻防专家、南通市公安局网安支队三大队副大队长许平楠说，经对该超市的服务器进行数据勘验，发现黑客锁定的服务器中所有文件均被加密，文件的后缀名都变成了 “lucky”，文件和程序均无法正常运行，而在C盘根目录下有个自动生成的文本文档，留有黑客的比特币收款地址和邮箱联系方式，要求受害人必须支付 1 比特币作为破解费用。案件侦查过程中，受害超市负责人反映，由于被锁服务器中有重要工作数据，格式化将带来巨大损失，于是联系了外地一家数据恢复公司，以更低价格委托解锁加密文件，后来这家公司成功地对服务器数据进行了解密。“一般来说，没有病毒制作者的解密工具，其他人是无法完成解密的。”专案组成员、启东市公安局网安支队民警黄潇艇说，勒索病毒入侵电脑，对文件或系统进行加密，每一个解密器都是根据加密电脑的特征新生成的，只有按要求支付比特币才能解开。获悉这一情况，专案组判断，其中定有隐情。经过走访调查，这家数据恢复公司的负责人吐露实情，原来他们通过邮箱直接与黑客取得联系，最终花了 0.5 比特币的代价得到解锁工具，从而顺利完成任务，赚取差价。专案组通过相关记录，深度研判分析，排除了数据恢复公司的作案嫌疑，成功锁定犯罪嫌疑人的真实身份为巨某，案件侦破工作取得重大进展。5 月 7 日，专案组在山东威海将巨某抓获归案，并在其居住地查获作案用的电脑。民警在其电脑中还找到相关邮件记录、比特币交易记录以及相关勒索病毒工具的源代码。经查，巨某今年 36 岁，内蒙古赤峰人，自幼喜好并自学钻研计算机知识，精通编程、网站攻防等技术，后成立工作室，利用自己开发的软件炒股，起初赚了不少钱，后亏损 300 多万元。2017 年下半年的某天，债台高筑的巨某偶然间得知，有黑客用勒索病毒将他人电脑文件加密锁定后敲诈钱财，于是灵机一动，尝试开发病毒程序，通过研究 “永恒之蓝”工具以及 “撒旦”等勒索病毒，巨某编写了 “satan_pro”病毒程序用于作案。“被植入病毒的服务器中，所有的数据库文件、文档都会被加密，只有通过邮箱联系我，支付比特币，我才会把解锁工具发给对方。”巨某交代，自己开发了一款网站漏洞扫描软件，在获得相关控制权限后，就有针对性地在一些服务器植入勒索病毒。为避免破解和逃避公安机关的追查，巨某又陆续升级开发了 “nmare”“evopro”“svmst”“5ss5c”等 4 款勒索病毒，除了索要难以追查的比特币作为赎金，还通过境外的网盘和邮箱将解密软件发送给受害人，并经常更换，到手的比特币也都是通过境外网站交易。专案组查明，巨某先后向 400 多家网站和计算机系统植入敲诈勒索病毒，受害单位涉及企业、医疗、金融等行业，启东这家超市收银系统即是被植入 “nmare”病毒。在相关案件中，苏州某上市科技公司的系统被巨某植入病毒，导致停产停工 3 天，损失巨大。期间，数家数据恢复公司主动联系巨某寻求合作。最终，巨某与谢某、谭某经营的一家数据恢复公司谈妥，由巨某编程，病毒中的联系方式和比特币账户为该公司所有，再由公司寻找目标植入病毒，到手后按比例分成。6 月 4 日，谢某、谭某在广州落网。IT之家了解到，目前3 名涉案犯罪嫌疑人均因涉嫌敲诈勒索罪被依法执行逮捕。广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。

投诉水文

我要纠错

下载IT之家APP，签到赚金币兑豪礼

相关文章关键词：勒索病毒，比特币苹果联合创始人沃兹尼亚克起诉谷歌 YouTube：黑客冒充其诈骗比特币1 比特币价值 6 万元，山东法院判决一起“比特币丢失案”：证据不足，驳回上诉勒索病毒不只攻击电脑，主流NAS服务器也成头号目标马斯克又躺枪！黑客冒充SpaceX频道诈骗，2天获150万美元的比特币马斯克有 0.25 个比特币，称数字货币更可靠：但表示不知道放哪了比特大陆声明：詹克团已不担任任何职务，有关部门登记错误

软媒旗下网站：

IT之家

辣品 - 超值导购，优惠券

最会买 - 返利返现优惠券

iPhone之家

Win7之家

Win10之家

Win11之家

软媒旗下软件：

魔方

云日历

酷点桌面

Win7优化大师

Win10优化大师

软媒手机APP应用

关于IT之家

|联系我们

|加入软媒

|WAP版

|网站地图

|Archiver

IT之家，软媒旗下科技门户网站 - 爱科技，爱这里。

2020国内外重大网络攻击及敲诈勒索事件一览_澎湃号·政务_澎湃新闻-The Paper

江苏南通破获比特币网络敲诈案-中国法院网

中国法院网首页

新闻

审判

执行

时讯

法学

地方法院

客户端

首页 >新闻 > 政法

江苏南通破获比特币网络敲诈案勒索病毒制作者落网

2020-10-08 16:29:34 | 来源：新华网 | 作者：杨丁淼

　　　记者从江苏省南通市公安局了解到，当地警方在“净网2020”专项行动中，成功侦破一起由公安部督办的特大制作、使用勒索病毒实施网络敲诈的案件，巨某等3名犯罪嫌疑人落网。截至案发，巨某作为多个比特币勒索病毒的制作者，已成功作案百余起，非法获取的比特币折合人民币500余万元。　　今年4月，南通某大型超市的收银系统遭到攻击，系统瘫痪无法正常运转。“通过数据勘验，我们找到一条英文留言，要求支付1比特币作为破解费用。”南通市公安局网安支队三大队副大队长许平楠介绍，由于比特币均通过境外网站交易，追查难度较大，发起攻击的始作俑者身份往往成谜。　　案件侦查过程中，受害超市负责人反映，被锁服务器已由外地一家数据恢复公司完成了加密文件的解锁。“勒索病毒入侵文件或系统，每一个解密器都是根据加密电脑的特征新生成的，没有病毒制作者的解密工具不可能完成解密。”许平楠说。　　南通警方顺藤摸瓜成功锁定犯罪嫌疑人巨某，民警在其电脑中找到相关邮件记录、比特币交易记录以及相关勒索病毒工具的源代码。巨某交代称，他开发了一款网站漏洞扫描软件，在获得相关控制权限后，就针对性植入勒索病毒。为避免破解和逃避公安机关的追查，巨某相继开发升级了4种勒索病毒，除了索要难以追查的比特币作为赎金，使用的都是境外网盘和邮箱。　　警方查明，巨某先后向400多家网站和计算机系统植入敲诈勒索病毒，受害单位涉及企业、医疗、金融等行业，如苏州某上市公司系统被植入病毒，停产停工三天，损失巨大。　　期间，多家数据恢复公司主动联系巨某寻求合作。最终，巨某与谢某、谭某经营的一家数据恢复公司谈妥，由巨某编程，公司寻找目标植入病毒，赎金到手后按比例分成。　　目前，3名涉案犯罪嫌疑人均因涉嫌敲诈勒索罪被逮捕。

责任编辑：于子平

网友评论：0条评论

什么是勒索软件？如何防御勒索软件？ - 华为

本站点使用Cookies，继续浏览表示您同意我们使用Cookies。

Cookies和隐私政策>

技术支持

运营商入口

公告

中文

English

首页

信息速查

IP知识百科

在线课堂

产品智能选型

首页

信息速查

产品智能选型

IP知识百科

中文

English

提示

确定

取消

IP知识百科

勒索软件

什么是勒索软件

勒索软件又称勒索病毒，是一种特殊的恶意软件，又被归类为“阻断访问式攻击”（denial-of-access attack），与其他病毒最大的不同在于攻击手法以及中毒方式。勒索软件的攻击方式是将受害者的电脑锁起来或者系统性地加密受害者硬盘上的文件，以此来达到勒索的目的。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权，或是取回受害者根本无从自行获取的解密密钥以便解密文件。勒索软件一般通过木马病毒的形式传播，将自身掩盖为看似无害的文件，通常假冒普通电子邮件等社会工程学方法欺骗受害者点击链接下载，但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在互联网的电脑间传播。

勒索软件的类型

勒索软件的入侵方式

如何防御勒索软件

如何处置勒索软件

收起

勒索软件的类型

根据勒索软件对受害者系统采取的措施，主要可以分为以下几类：

绑架用户数据使用加密算法（如AES、RSA等）将用户的文件进行加密，用户在没有秘钥的情况下无法操作自己的文件。用户可以访问设备，但是对设备内的数据无法操作。典型勒索软件有：WannaCry、GlobeImposter、CryptoLocker，TeslaCrypt等。

锁定用户设备不加密用户的文件，但是通过修改一些配置或者系统文件，使得用户无法进入设备。典型勒索软件有：NotPetya等。

锁定用户设备和绑架数据既加密用户文件，又锁住用户设备。是1和2的结合体。典型勒索软件有：BadRabbit等。

勒索软件的入侵方式

勒索软件常用的入侵方式如图1所示。

勒索软件的入侵方式

网络共享文件一些小范围传播的敲诈勒索病毒会通过共享文件的方式进行传播，黑客会将病毒上传到网络共享空间、云盘、QQ群、BBS论坛等，以分享的方式发送给特定人群，进而诱骗其下载安装。此外，不法黑客还常会编造出“杀毒软件会产生误报，运行之前需要退出杀毒软件”之类的理由，诱骗受害者关闭杀毒软件后运行。典型代表有：暂时主要为国产勒索类病毒通过外挂辅助，“绿色”软件类工具携带。

捆绑传播勒索软件与正常合法软件一起捆绑发布在各大下载网站或者论坛，当用户下载该软件后便会中招。

垃圾邮件这是勒索软件最为广泛的攻击方式。

利用社会工程学方法，发送假冒的电子邮件，将恶意脚本/程序掩盖为普通的文件，欺骗受害者下载、运行。

利用一些僵尸网络，更能增加欺骗的概率。如GameOverZeus僵尸网络，会使用MITB技术窃取银行凭证，通过该僵尸网络来分发钓鱼邮件，受害者非常容易相信。该僵尸网络被CrytoLocker等勒索软件利用来分发钓鱼邮件。

典型代表有：Locky、Cerber、GlobeImposter、CrytoLocker等。

水坑攻击勒索者利用有价值、有权威或访问量较大网站的缺陷植入恶意代码，当受害者访问该网址，或者下载相关文件时便会中招。典型代表有：Cerber、GandCrab等。

软件供应链传播勒索软件制作者通过入侵软件开发、分发、升级服务等环节，在软件开发过程中，就会在产品组件中混入病毒，通过入侵、劫持软件下载站、升级服务器，当用户正常进行软件安装或升级服务时勒索病毒趁虚而入。这种传播方式利用了用户与软件供应商之间的信任关系，成功绕开了传统安全产品的围追堵截，传播方式上更加隐蔽，危害也更为严重。此前侵袭全球的Petya勒索病毒便是通过劫持Medoc软件更新服务进行传播。典型代表有：Petya等。

暴力破解（定向攻击）针对服务器、个人用户或特定目标，通过使用弱口令、渗透、漏洞等方式获取相应权限。例如NotPetya会对口令进行暴力破解然后在局域网内传播。典型代表有：NotPetya、Crysis、GlobeImposter等。

利用已知漏洞攻击利用系统或者第三方软件存在的漏洞实施攻击。例如WannaCry便利用了SMBV1的一组漏洞进行攻击和传播。典型代表有：WannaCry、Satan等

利用高危端口攻击利用一些端口的业务机制，找到端口的漏洞，进行攻击。如WannaCry利用Windows操作系统445端口存在的漏洞进行传播，并具有自我复制、主动传播的特性。常见的高危端口有135、139、445、3389、5800/5900等。建议尽量关闭此类端口。典型代表有：WannaCry等。

以上几种的组合联合攻击通常来说，勒索软件不会只采取一种方式来进行攻击和传播，通常会是几种的组合。

如何防御勒索软件

阻止勒索软件攻击最有效的办法是防止攻击进入组织内部。

主机侧防护

首先，推荐通过组织级的IT基础设施方案来统一设置主机。通过AD服务器的组策略、企业级杀毒软件的控制中心等，可以保证安全措施执行到位，而不必依赖员工个人的执行力。

其次是针对员工的信息安全教育。很多勒索软件使用电子邮件和社会工程手段，诱使员工下载恶意软件，或访问恶意网址。员工不为所动，就能避免激活携带的攻击媒介。通过信息安全宣传，培训员工养成良好的办公习惯，识别和防范典型的攻击手法，是避免勒索软件攻击的有效手段

以下列出了主要的主机侧防护措施，其中大部分可以通过IT基础设施方案来统一管理。对于没有完善IT系统的小微企业，可以把这些措施转化为信息安全教育的内容，指导员工自行配置。相关措施包括但不局限于：

开启系统防火墙，利用防火墙阻止特定端口的连接，或者禁用特定端口。

升级最新的杀毒软件，或者部署专杀工具。

更新补丁，修复勒索软件所利用的含漏洞软件。

各项登录、鉴权操作的用户名、密码复杂度要符合要求。

设置帐户锁定策略。

阻止宏自动运行，谨慎启用宏。

仅从指定位置下载软件。

不要打开来源不明邮件的附件和链接。

定期做好异地备份，这是系统被感染后数据尽快恢复的最好手段，以勒索软件的套路，即使交付赎金，也不一定保证本地数据会被解密。

在Windows文件夹中设置显示“文件扩展名”，可以更轻易地发现潜在的恶意文件。

详细的主机侧防护措施请参见勒索软件防护指南>主机侧防护。

网络侧防护

防御勒索软件攻击的关键在于预防，即在勒索软件进入组织并造成实质性损坏之前，拦截攻击。最佳方法是设置以防火墙为基础的多层安全防御体系，避免攻击者突破一层防御之后长驱直入。严格的安全策略是最简单有效的防护手段；仅对外开放必需的服务，封堵高危端口，可以减小暴露面（攻击面）。阻断已知威胁，通常可以使攻击者放弃攻击，否则攻击者就需要创建新的勒索软件，或者利用新的漏洞，其成本必然增加。同时，启用文件过滤，可以限制高风险类型文件进入网络；利用URL过滤阻断恶意网站，可以避免用户无意中下载恶意软件。在安全性要求较高的网络中，还可以部署FireHunter沙箱、HiSec Insight、诱捕系统，全面感知安全态势。

针对勒索软件在网络侧的防护，华为通过如下分层防御体系进行防护：

通过在防护墙上部署严格的安全策略，限制用户对网络和应用的使用。

南北向安全策略：在网络边界处，设置严格的网络访问策略，仅对外开放必需的服务，且仅允许受信任IP地址/用户访问必要的服务。

东西向安全策略：把内部网络按照功能和风险等级划分到不同的安全区域，在不同功能网络间设置严格的安全策略。建议阻断高危端口（包括135、137、138、139、445、3389等）或限制可访问的用户，降低勒索软件横向扩散的可能性。在交换机和路由器等网络设备上，也可以利用流策略封堵高危端口。

通过IPS、AV、URL，发现和阻断已知威胁。

IPS入侵防御：在安全策略中引用IPS配置文件，确保如下暴力破解和漏洞利用签名的动作为阻断。如果签名的缺省动作不是阻断，可以设置例外签名，修改其动作为阻断。

AV反病毒：对于文件传输协议（HTTP、FTP）和共享协议（NFS、SMB），采用缺省动作。对于邮件协议，建议动作设置为宣告或删除附件。防火墙将在邮件中添加提示信息，提醒收件人附件中可能含有病毒。

URL过滤：推荐使用白名单机制，根据组织业务需求，圈定业务需求所需的网站类型。如果采用白名单机制有困难，则至少要阻断恶意网站、其他类。同时，启用恶意URL检测功能。

通过沙箱联动，发现未知威胁。防火墙将流量还原成文件，并将需要检测的文件发送到沙箱进行检测。防火墙定期到沙箱上查询检测结果，并根据检测结果更新设备缓存中的恶意文件和恶意URL列表。当具有相同特征的后续流量命中恶意文件或恶意URL列表时，防火墙将直接阻断。

通过HiSec Insight、诱捕，避免横向扩散。部署HiSec Insight和支持诱捕特性的交换机和防火墙。诱导勒索病毒入侵仿真业务并捕获其入侵行为，上报检测结果至HiSec Insight，HiSec Insight可全网下发策略阻断勒索病毒传播。诱捕系统有助于降低真实系统被攻击的概率，最大限度减少损失。

部署日志审计系统，用于调查取证和攻击溯源。日志审计系统可以集中存储和管理网络设备和服务器的日志信息，便于监控和事后分析。此外，攻击者还可能会加密或者删除主机日志，部署日志审计系统可以规避此问题。

关于详细的操作指导，请参见勒索软件防护指南>网络侧防护。

如何处置勒索软件

如果不幸被勒索，请按照如下建议处理。

不要急于为勒索软件支付赎金。支付赎金相当于鼓励网络犯罪，并且并不能保证能够恢复被加密的文件。

严格来说，加密型勒索软件不可破解。因勒索软件本身设计的问题，或者黑客组织公布了解密密钥（如Shade），存在一定的解密可能性。

如果被加密的数据相当重要或者极其敏感，且该勒索软件尚无解密方案，也请在确认网络犯罪分子确实可以解密后，再决定是否支付赎金。

常见的勒索软件处置建议，相关措施包括但不局限于：

隔离被勒索的设备拔掉网线或者修改网络连接设置，从网络中隔离所有被勒索的设备，防止勒索软件进一步传播，控制影响范围。同时排查受影响的主机数量，记录问题现象。关闭其他未感染主机的高危端口。在局域网内其它未感染设备上，关闭常见的高危端口（包括135、139、445、3389等），或设置可访问此端口的用户/计算机。

清除勒索软件尝试使用杀毒软件扫描和清除勒索软件。请重启操作系统，进入安全模式，安装/杀毒软件并全盘扫描。勒索软件搜索文件并加密需要一定的时间，及早清理勒索软件可以降低其危害程度，也能避免它重复锁定系统或加密文件。

解密保护现场。不要直接重新安装操作系统。如果被加密锁定数据比较重要，建议做好被加密文件的备份和环境的保护，防止因为环境破坏造成无法解密等。访问“No More Ransom”网站，使用解码刑警（Crypto Sheriff）确定勒索软件的类型，并检查是否有可用的解密方案，有机会破解并恢复文件。

调查取证求助专业技术人员进行取证操作，以便分析勒索软件的攻击路径，对攻击路径进行溯源。在操作系统的事件查看器中，查看安全日志，重点关注登录失败事件。在网络设备中查看安全日志、会话日志，重点关注暴力破解、SMB等重大漏洞攻击事件。确定中毒原因，彻底修复系统中存在的安全问题，避免再次沦陷。

重装系统最后的最后，如果勒索软件无法移除、被加密数据不可恢复，请备份被加密数据（或许未来有恢复的可能），然后格式化硬盘驱动器，擦除所有数据（包括受感染的数据），重新安装操作系统和应用程序。

参考资源

1勒索软件防护指南

Your browser does not support the video tag.

Follow

苹果比特派官网app下载安卓|敲诈勒索病毒

苹果比特派官网app下载安卓|敲诈勒索病毒

勒索病毒 | 普通人“自救指南” - 知乎

学习总结之——敲诈勒索罪专题整理 - 知乎

判了！勒索病毒作者获刑6年多 - 知乎

勒索病毒 | 普通人“自救指南” - 知乎

2020国内外重大网络攻击及敲诈勒索事件一览_澎湃号·政务_澎湃新闻-The Paper

勒索病毒 | 普通人“自救指南” - 知乎

判了！勒索病毒作者获刑6年多 - 知乎

重大勒索病毒案告破！犯罪团伙借助ChatGPT优化程序，细节披露_澎湃号·政务_澎湃新闻-The Paper

国内首个比特币勒索病毒案告破，三年获利500万-虎嗅网

网络犯罪案例思考（三）——以全国首个比特币勒索病毒案为例 - 知乎

国内首个比特币勒索病毒制作者落网：自学钻研计算机知识，涉案500余万元 - IT之家

2020国内外重大网络攻击及敲诈勒索事件一览_澎湃号·政务_澎湃新闻-The Paper

江苏南通破获比特币网络敲诈案-中国法院网

什么是勒索软件？如何防御勒索软件？ - 华为

最近的新闻

您可能喜欢的文章

tokenpocket冷钱包下载|蜜蜂矿池手续费多少

tp钱包怎么下载|数字商品交易平台

私钥怎么导入比特派

比特派被盗怎么找回

比特派钱包怎么查收

比特派怎么有病毒

怎么充值比特派钱包