國內首例:殺人案證據被病毒侵襲,作惡者未逃脫懲罰
2017年5月14日傍晚,山西省聞喜縣工人王華(化名)走在路上,懷裡藏著西瓜刀,去向物件張小花(化名)求複合。
兩人前不久鬧矛盾已經分手,但王華覺得還有挽回的餘地,談了三年的物件就這麼吹了?那時候他還不知道,自己的命運會跟一個沒聽過名字的電腦病毒聯絡起來。
7個月後,運城中級人民法院對王華殺人案進行一審判決,判決書中寫到:
當天晚上,被告人王華攜帶水果刀到張小花宿舍,二人爭執後,王華先後向張某胸、頸、腹部連捅數十刀,致其當場死亡。
判決書的第15號證據提到:“王華殺人案當天,當地公安局110報警系統被全國比特幣勒索病毒侵入,導致110接警處警系統和錄音系統癱瘓,當天所有報警記錄沒有音訊資料。”
在殺人案中,“是否自首”是法定從輕情節(比如殺人是死刑立即執行,如果自首可以從輕,一般不立即執行)。由於病毒的破壞,導致報警音訊記錄丟失的話,自首證據成為本案判決的關注點之一。
在本案中,被告交代利用張某手機報警,但法庭綜合各種因素,並未確認其自首行為。
(運城人民法院,圖片來自黃河新聞網)
最終,王華被法庭判處死刑,緩期二年執行。黑奇士(id hqssima)查閱相關資料發現,這是全國首例因為病毒入侵,而影響到殺人案證據的司法案例。
就在王華殺人的前兩天,勒索病毒WannaCry爆發,這作為一個標誌性事件,意味著勒索病毒作為電腦病毒的一個重要分支開始登上世界舞臺。
從英國醫院,到日本本田,再到西班牙電信巨頭,全世界100多個國家的重要機構和知名企業受到不同程度的影響。
(日本豐田因為勒索病毒而關閉IT系統)
生死資料:病毒湮滅證據,有人酒駕逃脫懲罰
2016年12月13日晚11點,陝西定邊縣溫某與妻子駕車回家,在家附近的巷子中停車後,遇到交警隊查酒駕。
再以後,溫某和交警隊的敘述出現了分歧:
溫某稱,車輛由妻子駕駛,自己僅為乘坐人,飲酒後從未開車。且執法人員當場並未處罰,讓兩人離開現場,但2017年5月份上網檢視時發現,當天被交警隊以酒後駕駛處以扣留駕駛證、扣12分的處罰。
交警隊辯稱,當天晚上依法查處溫某酒後駕駛一案,證據確鑿,程式合法。原告當時稱“沒帶駕駛證”,並拒絕在強制措施憑證上簽字,民警用執法記錄儀進行了拍攝取證。
法院判決書認為,交警隊雖然使用執法記錄儀對執法過程進行了拍攝取證,但電腦中勒索病毒之後導致執法資料全部丟失,“(交警隊)在執法過程中不及時主動固定證據,做出強制扣留駕駛證後也未執行,故所辯理由不成立,本院不予支援”
最後法庭判決:撤銷交警大隊對溫某做出的行政強制措施。
(2018年3月,定邊交警配備警務通,可現場錄入交通執法)
黑奇士查閱全國法庭公佈的判決書,其中7例判決與勒索病毒有關。
這些判決都遵循了“疑罪從無、有利於被告人”的判決原則,從保護嫌疑人的合法權益的角度,這是我國司法在不斷進步的表現。司法領域只是我國各個行業受勒索病毒影響的一個縮影,更多行業受到的影響是潛在的、並未被公眾知曉。
近日,國內安全廠商瑞星釋出《2018勒索病毒全面分析報告》,對今年前10個月的勒索病毒情況進行了統計分析:
2018年1至10月,瑞星“雲安全”系統共截獲勒索軟體樣本42.82萬個,感染共計344萬次,其中廣東省感染94萬次,位列全國第一,其次為北京市48萬次,浙江省20萬次及上海市18萬次。
WannaCry勒索家族在所有截獲的勒索家族樣本中佔比39%,位列第一,依然影響最大。(這個病毒,就是曾導致山西某縣110報警系統癱瘓的那個。)
勒索病毒在其他行業的影響:醫療、大學、企業是重災區
2018年2月,在勒索病毒爆發近一年之後,湖北省兒童醫院再次被病毒入侵而癱瘓:掛號、開方、線上支付等功能均失效,患者只能靠手工掛號、現金支付而維持。次日凌晨4時,系統才恢復正常。
(湖北兒童醫院,圖片來自紅網)
在一次安全高峰論壇上,國家工業資訊保安發展研究中心主任尹麗波表達了對安全隱患的擔憂。她指出,從2017年開始的勒索病毒事件,網際網路傳播不是特別嚴重,因為在網際網路上幾大運營商把相應的埠封了。
“但是在與網際網路隔離的一些內網裡面,還是有很多感染。另外,據我們瞭解能源系統的生產系統也有被迫中斷的情況。”尹麗波表示。
(5月13日,武漢某加油站的公告)
而大學、醫院、政府機關這些機構,平時與網際網路隔離,少有遇到病毒的侵襲,終端防護存在弱點。因此一旦病毒能穿透網際網路邊界,入侵內網之後,往往造成巨大的影響。
黑奇士在網上看到,西南某大學有大學生因為畢業論文被病毒加密,又支付不了比特幣贖金,只能連夜趕工做PPT準備答辯。(額,這個也算是被病毒改變命運的可憐人吧)
勒索病毒的三大特點導致氾濫
《瑞星2018勒索病毒全面分析報告》指出,勒索病毒存在三大特點:
1、勒索病毒的加密手段複雜,一旦被感染資料幾乎無法恢復 。
勒索軟體都採用成熟的密碼學演算法,使用高強度的對稱和非對稱加密演算法對檔案進行加密看不懂這段話的人,可以理解成病毒採用了非常複雜的加密演算法,使用超級計算機也得計算幾萬年,這就意味著從技術角度講,在沒有私鑰的情況下,想暴力破解幾乎不可能。
但是有少量的案例,因為病毒作者的疏忽,其存放私鑰的伺服器被“好黑客”攻破,使用這些私鑰的病毒加密過的檔案就可以被解密;或者病毒加密的過程有漏洞,可以反解密,這也是有些安全廠商宣稱可以“恢復資料”的真相。
如Petya和Cryptxxx家族恢復工具利用了開發者軟體實現上的漏洞,TeslaCrypt和CoinVault家族資料恢復工具是利用了key的洩露來實現的
2、勒索病毒與比特幣的結合,支付贖金更快捷
2017年是以比特幣為代表的虛擬貨幣興起的一年,虛擬貨幣可以跨國轉移,持有者使用虛擬身份不可追蹤,各國司法機構對勒索病毒作者束手無策。這些因素促使各種勒索病毒瘋狂增加。
3、勒索病毒的服務化,不懂技術也能用病毒“賺錢”
有人在暗網上提供服務,只要支付幾百美元,就可以製作“個人定製化”的勒索病毒。這大大降低了“黑客”門檻,只要有惡毒的心思,馬上就可以“買個病毒來賺錢”。
如何防範勒索病毒?
黑奇士採訪了瑞星安全專家,專家建議個人和企業應該採取不同的防範措施:
第一、個人電腦應做好資料備份,安裝個人安全軟體 。
因為勒索病毒一般不危害電腦的系統檔案,只是把個人檔案如照片、office文件、視訊等加密。因此,個人電腦中的重要檔案應該做好備份,按時上傳到雲端進行備份(比如百度雲、騰訊雲)。
如果使用行動硬碟或U盤備份,則在備份完畢後,把U盤或硬碟拔出。因為勒索病毒會查詢行動硬碟等裝置,將上面的檔案加密。
個人電腦中應安裝個人版防毒軟體,打好系統補丁,預防勒索病毒。
(普通讀者看到這裡就可以,下面是針對企業管理員的內容,對普通讀者沒啥用)
第二,企業使用者的資料備份和安全預防 :
(1)各計算機終端裝置部署企業版防毒軟體
對於規模較大、裝置型別眾多、維護工作繁重的企業,推薦使用網路版防毒軟體統一查殺,統一打補丁。瑞星ESM(瑞星下一代網路版防毒軟體)集病毒防護、網路防護、桌面管理、終端准入、輿情監控於一體,全網路環境適用,可以實現物理機、虛擬機器、Windows、Linux一體化管理,為企業使用者提供了一整套終端安全解決方案。
(2)網路入口部署防毒牆
瑞星防毒牆是集病毒掃描、入侵檢測和網路監視功能於一身的網路安全產品。它可在閘道器處對病毒進行初次攔截,配合瑞星病毒庫上億條記錄,可將絕大多數病毒徹底剿滅在企業網路之外,幫助企業將病毒威脅降至最低。
(3)虛擬化裝置部署虛擬化專用版安全軟體
虛擬化裝置應部署虛擬化專用版安全軟體。瑞星虛擬化系統安全軟體支援對虛擬化環境與非虛擬化環境的統一管控,包括VMware vSphere、VMware NSX、HUAWEI FusionSphere、浪潮InCloud Sphere、Windows系統與Linux系統等,可以有效保障企業內部虛擬系統和實體網路環境不受病毒侵擾。
(4)部署資料備份恢復系統
企業使用者由於業務複雜,資料庫型別眾多,無法手動實時備份,建議使用專業的備份恢復系統實時備份。瑞星備份恢復系統可作為本地機房針對各種常見伺服器故障的應急系統。安裝了瑞星備份恢復系統的裝置,可建立“集中應急平臺”,實現200-300臺X86伺服器故障應急系統應急切換,幾分鐘完全頂替原機使用,實現系統及資料同步。