勒索病毒，令全球恐慌的网络犯罪

近日，Wannacry勒索蠕虫病毒席卷全球。从5月12日晚开始爆发，已经有100多个国家受到攻击，国内也有大批高校、医疗、政府机构中招。

这并不是勒索软件第一次发威。

• 2016年11月旧金山交通系统被勒索软件感染，超过2000台计算机被黑，黑客要求73000美元赎金，整个地铁售票系统停运，旧金山交通局只能直接开放检票口让乘客免费乘坐地铁。

• 此前加利福尼亚大学洛杉矶分校医疗系统和好莱坞长老会医疗中心也先后遇到勒索软件：黑客使用勒索软件攻陷了医院电脑系统，并锁定其中的文件，导致不能查看电子病历，甚至连邮件都无法收发。黑客索要数百万美元提供代码解锁。

• 2016年，勒索软件以500万次的攻击数量被冠以“病毒之王”的称号。随着网络发展，勒索软件还将扩展可攻击的范围，有向物联网、工控，以及云计算平台扩散的趋势。

那么，勒索软件到底是什么？

做为法律人，如何应对网络犯罪这一新趋势，本文就此做一个简要介绍。

勒索软件（ransomware）是通过各种手段传播的一种木马病毒，感染受害者电脑或移动设备后，采用修改密码、加密文件等方式，使用户数据资产或计算机资源无法正常使用，并以此为条件勒索钱财。

被加密的内容包括文档、邮件、数据库、源代码、图片、压缩文件等多种形式。赎金包括真实货币、比特币或的其他虚拟货币。一般来说，勒索软件编写者还会设定支付时限，赎金随时间推移上涨。有时受害者即使支付了赎金也可能拿不到文件。

例如WannaCry就是这样，它并没有通过指定唯一比特币地址的方式，自动验证特定受害者是否支付了索要的300比特币赎金，意味着入账支付动作没有标识信息可供自动化解密过程。这种设置导致被害人即便支付了赎金，罪犯也无法解密电脑。

最早的勒索软件出现于1989年，名为“艾滋病信息木马”。该木马通过替换系统文件，在开机时计数，一旦系统启动达到90次时，该木马将隐藏磁盘的多个目录，C盘的全部文件名也会被加密，从而导致系统无法启动。此时，屏幕显示信息声称用户的软件许可已过期，要求邮寄189美元以解锁系统。

2006年出现的Redplus勒索木马是国内首款勒索软件。该木马会隐藏用户文档，然后弹出窗口勒索赎金，金额从70元至200元不等。 

2013年出现的CryptoLocker是第一款通过被控网站下载或伪装客户投诉电邮附件进行传播的加密型恶意软件，可以感染大部分Windows操作系统。

它利用AES-256算法加密带特定后缀名的文件，然后用C2服务器上产生的2048比特RSA密钥来加密该AES-256密钥。由于C2服务器建在Tor网络中，这让解密很困难 。使用CryptoLocker的黑客会威胁受害者说，如果没在3天内收到赎金，私钥就会被删除。

从上述勒索软件进化历史可以看出，勒索软件主要分为以下两类：

一是锁定系统类 (Winlocker)，即锁定受害者系统屏幕，影响用户对系统的正常使用，并要求用户支付赎金才能解锁取回系统的控制权。这种勒索软件危害相对较小，因为其对于系统没有任何伤害也不会丢失任何信息。

二是加密文件类，即对大多数类型的个人文件进行加密，并采用恐吓、夸张的语言来表达勒索诉求。这类勒索软件较前一类勒索软件要险恶得多，因其采用了高强度、复杂的加密算法锁定用户文件，解锁过程非常困难，并且部分受害者在按照要求支付赎金之后还是会面临丢失信息以及二次敲诈的风险。

总体而言，勒索软件是病毒的一种，但又不同于一般的病毒。病毒的对象是系统程序和应用程序，通过漏洞、邮件等方式感染后仍可带毒运行。而勒索软件的对象是数据文件资料，通过邮件、可移动存储介质传播，也可借助网页木马，或与其他恶意软件捆绑发布。这类犯罪行为的特点可以概括为：

勒索软件大多针对的是数据文件资料，感染期间用户难以察觉，直到已被感染或需要处理相关资料时，才会发现。由于勒索软件病毒往往是被害人电脑中招后才能发现，且勒索金额多数要求使用比特币支付，有关部门的事前监管和事后追查的难度相当大。

根据FBI网络犯罪投诉中心发布的报告，2014年收到关于勒索软件的投诉为1402例，2015年共收到2453起勒索软件犯罪的被害人投诉，涉及损失160万美元；2016年第一季度发生的勒索病毒事件中，被攻击者向黑客支付的赎金已超过2亿美元。

纵览过去一年国外网络勒索事件，可以看到，勒索软件在运行模式、加密技术等方面正逐渐趋于成熟，这使它们成为近年来最具危害的网络安全威胁。卡巴斯基实验室2016一季度检测到2900种最新的勒索软件变种，较上一季度增加了14%。第三季度遭受加密勒索软件攻击的互联网用户数量增长了超过2倍,达到821865人。赛门铁克公司按照年份统计勒索软件数量显示上涨趋势也非常明显。

与其他网络犯罪手段相比，一方面，勒索软件能帮助不法分子获得高额收益；另一方面，利用微信等热门社交应用及用户较薄弱的安全防护能力，勒索软件比以往更容易窃取隐私信息、敏感数据。安全机构和勒索软件的对抗也将在2017年更加激烈。

而做为法律机关，面对这一来势汹汹的犯罪浪潮，应当如何应对？

我国这方面的立法虽然已经制定了《网络安全法》，刑法修正案（九）也对信息网络犯罪的进行了专门规制，增设了拒不履行网络安全管理义务罪，准备网络违法犯罪活动罪和帮助网络犯罪活动罪等三个新罪名。

但总体而言，我国关于网络犯罪的立法仍相对薄弱，特别是与国外有关网络犯罪的相关法律相比，在立法模式、罪名设置、保护范围、刑罚配置等方面都有一定差距。

因此，针对这类犯罪高发的态势，有必要探讨其犯罪的特点和规律，分析犯罪防控的困境，有针对性地构建网络防控体系，制定防控策略，提升针对以勒索软件为主要对象的网络犯罪整体防控效能。具体包括两个方面：

要健全法律基础，明确网络管理相关单位的职责任务，解决多头管理、职能交叉的问题；及时细化《网络安全法》条目，增强法律的操作性、提高执行力。此外，还需要通过立法明确互联网接入服务、内容服务、信息服务等各个环节、相关机构的责任和义务，并分别制定详细、独立的罚则，对不严格落实安全管理和安全技术措施应承担的相关法律责任。对存在不良信息、清理整治不及时、违法有害信息高发频发的联网单位和系统运营单位要通过公开警示、通报、约谈和处罚等层层递进的执法手段进行管理，实现“有法可依、有法必依”的依法防控环境。

这次Wannacyr勒索软件事件中，微软公司已经于3月发布了严重漏洞公告和系统补丁，但是国内还是有不少机构和个人电脑感染病毒，说明相当一部分对基础安全服务不够重视，没有做好基础安全建设。因此，政府、行业组织在网络犯罪防御体系建设中，要如大力开展联网单位备案、安全技术保护措施检查等基础性工作。互联网公司、网络服务提供单位需要强化安全意识，不断完善自身安全建设，采取相应的技术与管理措施，实现事前积极防御、事中监测与监控、事后应急与处置，有效提升自身的网络犯罪防御能力。通过开展多层级网络安全监测、组建应急处置队伍、制定应急预案开展应急演练等工作提高监测、预警、处置能力，做到对网络安全隐患有效防范，对网络安全事件提早发现、及时处置；组织重点保障单位开展网络信息安全综合演练，搭建网络攻击演习环境，磨合应急处置机制，做好应急处置准备，确保一旦发生信息安全事件，能够快速妥善处置，将影响和损失降到最低。