王女士为了过年群里抢红包手速快,上网搜索“抢红包神器”,页面突然弹出一个“保证抢到红包”的广告,下载了“抢红包了”的软件。结果红包没抢到,反倒因手机屏幕锁定,最后她付了2000电脑元,才解了锁。
这是一种锁屏勒索病毒。
勒索病毒,是网络世界险恶的病毒,它出现的时候,往往电脑上面所有文件被锁死,必须要拿到解密私钥才能破解,要想拿到解密私钥,就要交钱。
目前,最臭名昭著的勒索病毒是WannaCry,从2017年5月12日被发现继而爆发后,至今勒索病毒家族的小分支“遍地开花”,新变种和新病毒不断地滋生蔓延。同时,还有其他勒索病毒也不断涌现,比如2020年4月,出现的“WannaRen”,大部分杀毒软件无法拦截。
而随着虚拟币的出现,勒索病毒又和虚拟币“挂钩”,想解密?病毒制作者会提出用比特币等虚拟币“交易”。
勒索病毒,就像打开了一个潘多拉魔盒,它影响到了整个社会的基础设施和基本服务,甚至影响到了社会秩序。
黑客与反黑客之间,必定是一场暗战。
8月22日-23日,浙江省公安厅网安总队开展了网络犯罪案件侦查取证大比武,这也是一场“反黑客”技能大比武。
全省11地警方共派出66名“反黑高手”参加比赛,年龄大多是90后,其中有10名网警去年电脑已经被评为公安部专家。
像解摩斯密码一样寻找蛛丝马迹
本次比赛采用模拟实战,66名选手面对的犯罪现场都是一样的,某个单位电脑系统被黑客攻击,中了勒索病毒,系统瘫痪。
包括电信网络诈骗在内的网络犯罪现场,和现实中的犯罪现场不一样,网络犯罪一切隐于无形。
在以往案件中,发现“有黑客会在代码中字里行间留下自己的联系方式,以便让人联系自己”,但现在黑客越来越狡猾,越来越会隐匿自己。
但如果从时空概念看,谁在这个时空中经过,谁就有嫌疑,所谓“踏雪有痕”。
所以,比赛时,选手们要先找出黑客到底怎么入侵的。找到入侵方式后,再分析病毒怎么运行、查找病毒来源,对病毒进行一番庖丁解牛后,在一堆堆代码中发现病毒的特点、黑客的蛛丝马迹,跟解摩斯密码一样,顺着这些密码,最后揪出“凶手”。
破案过程繁复,选手一边破案,一边要取证,电子证据属于八大类证据之一的电子数据范围,因为电子证据极易被破坏、一旦被破还又难以恢复原状,所以,固定和取证尤为关键。黑客们一旦发现危险,还会隔空销毁、伪造、篡改……反黑客高手们还要和“黑客”在线抢夺时间。
是队友也是对手
“里面设置了很多关卡”,组织本次比赛的省公安厅网安总队有关负责人说。
本次赛题,一道大题下面又设置了很多问题,涉及到暗网、虚拟币、区块链、勒索病毒等新型涉网犯罪案件侦办中遇到的各类技术难点,部分取证领域为国内首次开展实战演练。
就像通关游戏一样,选手每完成一步,就提交这步骤的答案。参赛的选手们都算是高手了,但现场气氛紧张,有的选手明明前面提交了答案后台计分显示是正确的,但选手最后又犹豫了下,再次提交新的答案,结果这个答案却错了。
本次比赛,分个人赛和团体赛,个人赛考的是谁最快时间解题又多又准确。据了解,设置的很多道题,其实一个人是根本完不成的,是要靠团队作战最后才能完成,这也说明每一起案件的侦破是团队的力量。
个人赛时,团队成员既是队友也是对手,大家各忙各的,个人赛后,队员间开始切磋、汇总,及时发现之前的偏差,接着破解其余剩下的难题。
第二天的比赛,针对各代表团提取的电子证据报告进行质证,是团体赛的最后一场。
要让黑客绳之以法,警方所提取的证据是不是与其他犯罪证据形成一个证据链,证据的收集是否合法合规,是不是原始数据?都会影响到最后审判结果。
随着以审判为中心的刑事诉讼制度改革,民警上庭作证成为常态,如果遇到黑客的辩护律师“发难”提问质疑,民警说不出道道来,那么这些辛苦采集的证据即便足够正确无误,也不会被法官采信和认可,所以这是对民警业务知识、反应、口才等能力的考验。
最后,今年28岁、工作6年的杭州拱墅区公安分局网安大队民警张尚新获得个人第一,来自宁波和绍兴两位网警朱泽立和陈胜涛分获个人第二和第三,宁波市公安局网安支队获得第一,杭州市公安局网安支队和金华市公安局网安支队分获第二和第三,共18名选手荣获“省级专家”荣誉称号。
据介绍,这些年,浙江网安一直加强网上作战尤其在电子数据取证分析能力的培育,浙江警方网络犯罪案件侦查与电子数据取证分析能力一直走在全国前列,侦办了大量新型涉网犯罪案件,部分案件也成为了两高指导案例及司法解释出台后的典型案例。
政府部门、教育、科研、能源、电信、
卫生健康行业成为被攻击目标
勒索病毒往往会攻击政府、企业、学校、医院等机构的局域网。去年国内某医院因为中毒,导致一时间所有的药品目录价格系统无法打开,导致病人挂号也挂不了看不了病,医院运营陷入瘫痪。
据国家互联网应急中心统计,今年7月9日到7月15日,勒索软件防范应对工作组共收集捕获勒索软件样本1127557个,监测发现勒索软件网络传播29次。还监测发现5247起国内单位设施感染Wannacry勒索软件事件。
目前,政府部门、教育、科研、能源、电信、卫生健康行业成为Wannacry勒索软件主要攻击目标。
还有的数据公司和黑客联手
2020年南通警方破获一起公安部督办的特大制作、使用勒索病毒实施网络敲诈勒索案,该案黑客巨某是国内首个落网的比特币勒索病毒制作者,作案200多起,非法获利500多万元,此案中,就有所谓数据恢复公司和黑客合作,一旦有中毒的单位找上门要解密,他们先跟黑客花钱买来私钥解密,赚取差价。
还有的数据公司甚至主动和黑客合作,共同开展攻击破坏和敲诈勒索,同时借机抢占勒索病毒解密市场,成为勒索病毒蔓延扩散的帮凶。
个人手机也会被攻击
对我们个人来说,手机会成为黑客的攻击目标。
2018年12月初,一个以微信为支付手段的勒索病毒在国内爆发,几日内,该勒索病毒至少感染了10万台电脑,通过加密受害者文件的手段,已达到勒索赎金的目的,而受害者必需通过微信扫一扫支付110元赎金才能解密。
去年,国家互联网应急中心发现了22个锁屏勒索类病毒变种,历史累计通报该类恶意程序4226个,这类病毒通过对用户手机锁屏,勒索用户付费解锁,对用户财产安全造成了严重的电脑威胁。
去年,国家互联网应急中心发现的22个锁屏勒索类病毒变种如下:
小心后缀为Jpg 、gif等格式的图片,可能也有毒
网警分析说,从目前看,勒索病毒主要传播途径有:漏洞、邮件、广告推广、程序木马、网页挂马等,还有一种平时大家容易碰到的情况,就是不小心点了一张后缀为Jpg 、gif等格式的图片,打开后什么也没有显示,其实就是病毒,这种“误触”让电脑中毒。
一般较容易中招的是win7、xp等老旧系统,win10系统因为强制更新会好一些,还有平时特别依赖U盘、记录仪办公的局域网用户,外设则成为勒索病毒攻击的特殊途径。
手机中勒索病毒会出现这些状况:恶意程序强制将自身界面置顶,致使用户手机处于锁屏状态,无法正常使用;恶意程序私自重置用户手机锁屏PIN密码;恶意程序监测开机自启动广播,触发开机自启动广播后,便会启动锁屏代码;恶意程序预留联系方式,提示用户付费解锁。
最后,提醒大家,不打开陌生或可疑邮件、网络链接;不下载安装来路不明、可疑的软件;不同平台使用不同密码;各个平台使用复杂的密码并定时修改;及时更新漏洞补丁;安装杀毒软件及时更新病毒库。
文| 杨丽 段红超
电脑
