向黑客购买密钥方式经营勒索病毒解密业务是否违法！！！

一大早收到客户中勒索病毒的反馈，于是先在网上查查有没有这种勒索病毒的解密工具。

然后发现了一个法院判决的勒索病毒解密案例。

原文链接：

https://www.chinacourt.org/article/detail/2024/10/id/8155494.shtml

原文如下：

【案情】

　　被告人范某系一家从事勒索病毒解密业务的淘宝店铺经营者，但其自身并不具备解密勒索病毒的能力，其经营模式就是在网络上宣传推广该店铺可以提供勒索病毒解密服务，吸引受害者来咨询购买该服务。一旦有勒索病毒受害者购买其服务，其就通过联系黑客议价购买密钥的方式获取密钥，从而为受害者提供解密服务。有时候，为了获取更大的利益，范某还和网络上的其他经营者拼单向黑客购买密钥。在一年多的时间里，范某共计向80余家被害单位收取服务费460余万元，扣除向黑客购买密钥支付的310余万元，共计获利150余万元。

【分歧】

　　对于范某的行为如何定性，存在三种不同观点：

　　第一种观点认为，被告人范某在明知黑客利用病毒实施敲诈勒索的前提下，仍采用向黑客购买密钥的方式经营勒索病毒解密业务，系为黑客的敲诈勒索提供沟通和结算帮助的行为，应认定为敲诈勒索罪的共犯。

　　第二种观点认为，没有证据证明被告人范某与黑客存在事前或者事中的共谋，其是在被害单位找到其购买解密服务时，才从被害单位处获取了黑客的联系方式，联系并购买密钥，其没有敲诈勒索的故意，不构成敲诈勒索罪。但其行为客观上为黑客敲诈勒索提供了支付结算通道，且其明知黑客利用信息网络实施犯罪，故其行为可构成帮助信息网络犯罪活动罪。

　　第三种观点认为，被告人范某系受被害单位的请求而与黑客谈判购买密钥，代表的是被害单位的利益，主观上不具有帮助敲诈勒索或帮助信息网络犯罪活动的故意，且与直接联系黑客支付勒索金相比，被害单位实际从中获益，所以被告人范某的行为不构成犯罪。

作者找了三种观点，两个有罪，一个没罪。

再看看作者的长篇大论观点 

以下为原文

【评析】

　　笔者倾向于第一种观点，即范某的行为构成敲诈勒索罪，系黑客敲诈勒索的共犯。理由如下：

　　首先，范某的行为具有严重的社会危害性，有给予刑事处罚的必要性。该行为绝非单纯如上述第三种观点所认为的“系为被害单位提供帮助的行为”。虽然在被害单位面对勒索病毒的困境下，该行为客观上为被害单位提供了一种比直接联系黑客相对更好、更有保障的摆脱困境路径，但也正是这种中间商行为，使得黑客的勒索更容易得逞，客观上助长了黑客的勒索行为，甚至逐渐形成了黑客专门破坏计算机信息系统，中间商负责宣传推广联系被害人收取解密服务费，然后联系黑客购买密钥帮助被害人恢复计算机信息系统，以此牟取非法利益的灰色产业链。中间商名为帮助被害人解密，实为助长黑客的勒索行为，并以此牟取非法利益。此类经营行为是绝不应当容忍的，因为其极易与实施敲诈勒索的黑客形成心照不宣、沆瀣一气的默契。

　　其次，此类行为也绝非中立帮助行为。有观点认为，范某与黑客之间并无共谋，法律也不禁止人们经营勒索病毒解密服务，其只不过是在正常的经营过程中，客观上对黑客的勒索行为起到了一定的帮助作用，就如出租车司机明知乘客是要去某地实施盗窃，仍将其运送至该地的行为一样，只是中立帮助行为，不构成帮助型共犯。对此，笔者认为，该观点实际上失之偏颇，且对中立帮助行为的理解存在误差。中立帮助行为是指在外观上看似无害，但在客观上对正犯行为及其结果起到促进作用的行为，通常就是在职业行为同时所实施的犯罪帮助行为。因为中立帮助行为在规范性评价上通常没有制造不被法所允许的危险，没有达到值得作为帮助犯处罚的程度，故一般不作为帮助犯处罚。本案中范某的行为显然不是日常的看似无害的行为，其实际上已经制造了不被法所允许的危险，所以缺乏中立帮助行为要求的中立性特征，故不属于中立帮助行为。

　　再次，本案虽然没有确实的证据证明被告人范某与黑客之间存在共谋，但范某向黑客购买密钥再为被害人提供解密服务的经营行为是长时间反复进行的，其在明知黑客对被害人实施敲诈勒索的情形下，长时间反复向黑客购买密钥，实际上与黑客之间已经形成了一种默契，可以说已经参与进了黑客的敲诈勒索犯罪之中。就如电信网络诈骗案件中的受诈骗集团雇佣负责诈骗得款取现的“车手”，如果是偶尔一次取现即被抓获，那还难以说其已经参与进了诈骗集团的诈骗犯罪之中，但如果是长期反复帮助诈骗集团取现和转移赃款，就应当认定其参与进了诈骗集团的诈骗犯罪之中，已经成为诈骗犯罪中的一环，从而构成电信网络诈骗的共犯。需要注意的是，对于此类犯罪证据的审查和分析把握要关注网络犯罪的特殊性，不能因为没有明确的证据证明行为人与黑客之间存在共谋，就否定共犯的成立。一方面是因为共犯概念早就已经超越了共谋的范畴，实践中，对于没有共谋，但行为人明知他人在实施犯罪而给予帮助的，认定共犯早已没有障碍；另一方面，网络犯罪中，在形成灰色产业链的趋势下，行为人和黑客之间的那种心照不宣和默契未必就不能视为一种更广泛意义上的共谋，一种共同寄生于这条灰色产业链以获取各自非法利益的共谋。

　　最后，本案被告人的行为应认定为黑客敲诈勒索犯罪的共犯，而不应认定为帮助信息网络犯罪活动罪。从形式上看，被告人的行为似乎完全符合“明知他人利用信息网络实施犯罪，为其犯罪提供广告推广、支付结算等帮助”的帮助信息网络犯罪活动罪的构成要件。但需要注意的是，帮助信息网络犯罪活动罪一般是用来规制对他人的信息网络犯罪明知程度较浅、只具有概括性的明知，没有参与他人实施的具体犯罪过程且不从他人的信息网络犯罪中分取利益的帮助行为。如果超越了这个界限，帮助信息网络犯罪活动罪一般就不足以评价行为人的犯罪行为，而应纳入正犯的帮助犯范畴予以评价。关于正犯的帮助犯与帮助信息网络犯罪活动罪之间是否存在竞合关系，笔者的观点是，如果不同罪名之间能够划出相对清楚的界限的，还是不宜过多地采用竞合的方式来理解罪与罪之间的关系。本案中，被告人范某对于黑客实施敲诈勒索具有确切的明知，且通过与黑客之间的议价事实上与黑客分享了敲诈勒索犯罪获取的非法利益，其行为明显已经超越了帮助信息网络犯罪活动罪的范畴，对其应以敲诈勒索罪的共犯予以认定。

这让我想起了自己经历过的一个案例。

A公司向B公司购买云服务器，A公司购买C公司的办公OA，并且日常运维由C公司负责。C公司办公OA在出现文件上传漏洞，几个月后A公司服务器数据全被加密，生产业务严重受影响。

有意思的来了，A 、B、C公司都知道是因为C公司的系统漏洞导致的，可A公司找来要B公司处理并赔钱。 

A的理由：我用B的服务器，B就该保证数据安全，要赔钱；

C理由：是你们云环境不安全。

B理由：你们购买的是云服务器，我们只提供服务器，不管你们服务器上运行的软件安全，之前提供了主机防护，你们自己卸载了。责任不在B公司。

这个各自理由我真的是震惊了，在协助B公司沟通中，我当A公司面问C公司，你们产品有漏洞几个月了，为什么不修复，升级到没有漏洞版本。B回答，A公司没有给钱，产品不升级。 听到这样的回答，A公司及其律师依旧称问题是B公司云服务器不安全，要负责。他们的系统运行了两年都没事，现在出事情了就是B公司的问题。

网络安全行业的人听到这种案例肯定会笑，一眼就知道是谁的责任，还在这拉扯半天。

在问题僵持不下时候，我提议可以找专业第三方安全公司做溯源，或者公安网安支队，或者网信办、工信部那边网络安全条线的人来鉴定。A公司坚称这些政府部门不专业，没有技术能力。

A公司律师提出按照合同责任履行。翻翻合同，明确写着只提供服务器，不负责服务器上层应用系统的安全，上层应用系统由客户负责。被网络攻击， 勒索病毒造成的损失不负责。

律师估计也不懂什么叫 “不负责服务器上层应用系统的安全，上层应用系统由客户负责”。但合同里面明确写了被网络攻击， 勒索病毒造成的损失不负责。也只能就此罢手。

为什么要讲这个案例？因为我发现在与有些人沟通中他们不仅不懂行业，不专业，还不听。 换句话说，不存在是非，黑白，立场决定对错， 有奶便是娘。

网络安全与法律合规，一直以来是甲方关注的重点，网络安全从业者，也都会研究相关法律法规，一方面确保自己测试的安全（渗透测试工程师和黑客一线之隔），一方面确保满足法律法规的要求。

向黑客购买密钥方式经营勒索病毒解密业务，里面涉及的不仅仅是经济利益，更要考虑实际技术情况。 

首先要明白为什么会出现这种情况？

勒索病毒一般采用非对称加密，没有密钥，是无解的。基于此，所有黑客加密了企业重要数据后，勒索往往能成功。

那为什么会存在这一中间商行业？

因为重要数据加密后要么业务中断，要么严重影响业务，基于前面说的，没有密钥无法恢复数据，但甲方又不懂如何联系黑客，如何支付赎金，只能通过第三方中介。

是否存在勒索黑客+中间商产业链？

当然是存在的，但你不能因为没有明确的证据证明行为人与黑客之间存在共谋，就否定共犯的成立的说法。和没证据瞎抓人有什么区别，还法制社会，这是在践踏法律尊严。

问题的本质出在哪里？

勒索攻击主流有三种方式：

• 利用漏洞攻击

• 钓鱼攻击

• 社会工程学（植入恶意程序）

问题的根源在于没做好信息安全建设，被坏人利用，谋取经济利益。

至于

中间商行为，使得黑客的勒索更容易得逞，客观上助长了黑客的勒索行为。

形成了黑客专门破坏计算机信息系统，中间商负责宣传推广联系被害人收取解密服务费，然后联系黑客购买密钥帮助被害人恢复计算机信息系统，以此牟取非法利益的灰色产业链。

极易与实施敲诈勒索的黑客形成心照不宣、沆瀣一气的默契。

在明知黑客对被害人实施敲诈勒索的情形下，长时间反复向黑客购买密钥，实际上与黑客之间已经形成了一种默契，可以说已经参与进了黑客的敲诈勒索犯罪之中。

在现实中很多律师也会帮那些明知违法犯罪的人打官司，帮他们减刑。是不也适用上面的理由？

明知违法犯罪还帮犯罪分子辩护，使得违法犯罪成本降低，客观上助长了坏人的嚣张气焰。行成了专门帮犯罪分子打减刑官司的利益产业链。极易与犯罪分子形成心照不宣、沆瀣一气的默契。

长时间反复向为违法犯罪分子提供辩护 ，实际上与犯罪分子之间已经形成了一种默契，可以说已经参与进了犯罪之中。

坏人不会因为法律怎么样就不干坏事，也不会因为你处罚多严重而就此罢手。你担心他们形成默契牟利，还有人还担心你不能因为没有明确的证据证明行为人与黑客之间存在共谋，就否定共犯的成立的理由，乱抓人，破坏言论自由。

从勒索实际情况来看，各种系统每年各种漏洞不计其数，攻击者技术强，勒索后无法恢复数据，受害者能力弱，而受害者又迫切需要数据，这个中间商行业必然存在，没了这个行业勒索攻击也不会减少，只会让那些被攻击的企业花更多的时间、精力、金钱去折腾这些事情。

没有买卖就没有伤害，直接立法禁止甲方通过第三方向黑客购买密钥方式恢复数据，效果会更好。何必用什么共同犯罪，帮信罪来说事。要说违法，那些作为网络安全运营企业、单位没有按照《网络安全法》第二十一条，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。他们不应该首先被处罚吗？

与其让别人代为购买密钥解密，又起诉别人这种“钓鱼执法”，不如搞几个未履行《网络安全法》的处罚案例，提升甲方单位安全意识要强的多。

实际企业网络安全落地中的矛盾，可能只有行业内的人才懂。 

以上个人观点，如有不同，可素质留言讨论

原文始发于微信公众号（网络安全透视镜）：向黑客购买密钥方式经营勒索病毒解密业务是否违法！！！