感染勒索病毒，有可能判三年！

稿源：安全圈 2019-12-18 15:05:20 794

“勒索病毒在全世界爆发已经很严重了，但也有很多企业拒绝交赎金。几家著名勒索病毒集团表示将要公开这些中勒索病毒的企业信息，还有从受害公司窃取的数据。”

勒索软件攻击现在是数据泄露

似乎勒索软件的祸害还不够严重，必须加码：几家著名的勒索软件供应商已经表示，他们计划开始发布拒绝付款的受害者所窃取的数据。更糟的是，一个勒索软件团伙现在已经创建了一个公共网站，用于发布一些不合作的受害公司，不合作的受害公司中了勒索病毒，选择重建其业务，而不是悄悄地交赎金。网站专门发布不合作公司的名单。

约在48小时前，Maze Ransomware 病毒背后的网络犯罪分子在公共Internet 上架设了一个网站，目前它列出了拒绝支付赎金要求的8名恶意软件受害者的公司名称和相应的网站。

该网站用服务英语写道：在这网站发布的公司，都是那些不打算交钱，不合作的公司名单，并试图隐瞒黑客已经成功入侵并下载其重要资源的公司。不合作公司的数据还有重要文件资源，将会发布这网站上。请关注最新新闻。

安全专家：KrebsOnSecurity能够验证该站点上列出的至少一家公司最近确实遭受了新闻媒体尚未报道的Maze勒索软件侵扰。

Maze受害者被披露的信息包括初始感染日期，一些被盗的Microsoft Office，文本和PDF文件，据称从受害者那里窃取的文件总量（以千兆字节为单位），以及受害者的IP地址和计算机名称。服务器, 都是被Maze勒索软件感染的目标、这事发生之后使某些人感到震惊，之前就有黑客警告过可能会走这一步。没想来这样的结束来的怎么快。

“多年来，勒索软件开发商和分支机构一直在告诉受害者他们必须支付赎金，否则被盗数据将被公开发布，”劳伦斯·艾布拉姆斯（Lawrence Abrams）说。“尽管勒索软件参与者窥探受害者的数据是一个众所周知的秘密，而且在许多情况下，他们在勒索加密数据之前就将其窃取了，但他们从未真去公布这些数据，只是威胁。”

这种情况在上个月末发生了变化，当时Maze勒索软件背后的诈骗者威胁到联合环球公司，如果他们不支付赎金，他们将公布他们的机密文件。当他们没有收到付款时，就在黑客论坛上公布了700MB的数据。

“勒索软件攻击现在是数据泄露”

“在勒索软件攻击期间，一些入侵行为分析已经告诉公司，攻击者已阅读公司文件并熟悉公司内部的机密。应该将其视为数据泄露，但许多勒索软件的受害者希望隐瞒此事并将病毒扫地出门，并希望没人能发现。现在，勒索软件运营商正在公布受害者的数据，有了这些改变，被迫公司不得不将这些攻击视为数据泄露。”

在负责管理“ Sodinokibi / rEvil” 勒索软件帝国的网络犯罪分子发布在流行的暗网论坛上几天后，Maze勒索病毒集团就采取了行动，他们还计划开始使用被盗的文件和数据作为一种手段来威胁受害者支付赎金。

Sodinokibi / rEvil 勒索软件帮派的负责人承诺在最近的网络暗网论坛帖子中公开宣布受害者的名字并让他们感到羞耻。

对于那些没有公开自己实际情况或想瞒报企业已经中勒索病毒，数据在勒索集团手中的企业，将是重大打击。这样的受害企业如果公布出来之后将会因为，没有效保护客户数据而已面临高额罚款。

如果这些受害者之前中勒索病毒可以重建业务线或者是还原数据，也许可以避免公众知晓公司内部被勒索软件攻破，但是像Maze Ransomware 现在已经建立的站点，公开这些消息，这事就变的很复杂，而且会有好戏看。

中国数据泄露相关处罚案例

案例一：716万元处罚银行泄露数据信息

中国人民银行发布了一则高达716万元的行政处罚信息，处罚对象包括四大国有银行和民生、光大、广发、中信、浦发等多家银行，还包括保险公司、资产管理公司等多家金融机构。这些金融机构在过去两个月时间里，都曾发生泄露信息、瞒报数据等违规行为，有银行机构不仅过失泄露信息，而且未经授权便查询个人信用信息，甚至违法出售个人信息。

在违规处罚中，有三家金融机构的单个罚单超过50万。

案例二：被黑客入侵，网警察处罚

公安局网安支队经过现场调查和勘验取证工作，并依法对网络中心系统管理员和操作维护人员进行询问。最终确认淮南职业技术学院招生信息管理系统存在越权漏洞，后台登录密码弱口令，学院未落实网络安全管理制度，未建立网络安全防护技术措施、网络日志留存少于六个月，未采取数据分类、重要数据备份和加密措施，致使系统存储的4353名学生的身份信息泄露。

市公安局网安支队依法传唤学院分管网络信息安全工作的院长和网络中心主任及相关工作人员进行调查，确认该学校因未落实网络安全等级保护制度造成数据泄露，依法对淮南职业技术学院处以立即整改和行政警告的处罚措施。对泄露的学生身份信息流向，市公安局正在依法调查中。

案例三：科技部处罚医院，原因：数据安全泄露

去年，科技部官网集中公开了6份行政罚单，内容涉及人类遗传资源采集、收集、买卖、出口、出境审批，罚单分别在不同时间开出。其中最新的是国科罚〔2018〕1号对阿斯利康投资（中国）有限公司（下称“阿斯利康”）7月12日的处罚，最早一则是国科罚〔2015〕2号对深圳华大基因科技服务有限公司（下称“华大基因”）2015年9月7日的处罚通知。除了上述两家外，赫然在列的还有厦门艾德生物、昆皓睿诚医药、复旦大学附属华山医院以及正在申请港股IPO的药明康德。处罚原因：数据安全泄露。

相关法律法规

首先来了解一下《网络安全法》

网络安全法第21条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

网络安全法第59条第1款规定，网络运营者不履行本法第21条、第25条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

2019年11月1日起，最高人民法院、最高人民检察院日前联合发布的《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（以下简称《解释》）正式实施。《解释》共十九条，对拒不履行信息网络安全管理义务罪的具体情形、定罪量刑标准及有关法律适用问题作了全面、系统的规定，具体如下：

第四条 拒不履行信息网络安全管理义务，致使用户信息泄露，具有下列情形之一的，应当认定为刑法第二百八十六条之一第一款第二项规定的“造成严重后果”：

（一）致使泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上的；

（二）致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的；

（三）致使泄露第一项、第二项规定以外的用户信息五万条以上的；

（四）数量虽未达到第一项至第三项规定标准，但是按相应比例折算合计达到有关数量标准的；

（五）造成他人死亡、重伤、精神失常或者被绑架等严重后果的；

（六）造成重大经济损失的；

（七）严重扰乱社会秩序的；

（八）造成其他严重后果的。

《中华人民共和国刑法》第二百八十六条之一拒不履行信息网络安全管理义务罪：

网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：

（一）致使违法信息大量传播的；

（二）致使用户信息泄露，造成严重后果的；

（三）致使刑事案件证据灭失，情节严重的；

（四）有其他严重情节的。

单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。

未来勒索病毒性质正在转变为数据泄露，感染勒索病毒，按数据泄露的话，可以直接入刑！我们假设一个场景：XX医院感染勒索病毒，没有发现或者是没有检测到勒索病毒已经盗走了相关数据。只解密勒索病毒，性质就转变为数据泄露，医院有很多病人信息。就达到法律规定的 “致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的；”相关责任人，可按最新法律法规处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。

中国数据泄露立法正在推进

今年全国两会上，个人信息保护再次成为热点。全国政协委员刘伟建议加大对数据泄露的惩罚力度。

1、去年6.18，圆通10亿条用户信息数据泄露后被黑产出售

2、去年8.28，华住集团2.4亿入住记录泄露

3、去年8月，顺丰3亿条用户信息泄露

4、去年11.30，万豪喜达屋5亿用户信息泄露

以上几个影响重大的事件影响范围已达数十亿，从分布来看，显然商业和互联网行业是重灾区，但政府、教育、医疗等公共服务性机构情况也不容乐观，社保公积金账户信息、病患信息，这些数据都在全国不同区域不同程度的泄露。

去年五月，欧盟《通用数据保护条例》（以下简称“《条例》”）正式生效。这被认为是有史以来最严格的网络数据管理法规，监管和惩罚力度空前。《条例》大大强化了企业的数据保护责任，要求企业必须用合法、公平和透明的方法收集、处理用户信息，并以通俗的语言向用户解释收集数据的方式。其还规定企业有义务采取一切合理措施，删除或纠正有误的个人数据，否则将被处以最高2000万欧元的罚款；一旦发现用户数据泄露，有责任在72小时内向监管机构报告。