勒索軟體 Ransomware – 第 39 頁

警察勒索軟體謊稱與防毒廠商簽署國際條約,惡意鎖定受害者電腦勒索贖金

2013 年 01 月 03 日2015 年 05 月 25 日趨勢科技 TrendMicro

2012年假冒執法警察的勒索攻擊持續蔓延在歐洲 ,警察勒索軟體 Ransomware的幕後黑手不再只是利用執法單位的權威來替自己的騙局建立可信度，他們現在也會開始利用安全廠商。

趨勢科技發現到一個警察勒索軟體 Ransomware變種，提到了所謂執法單位和防毒廠商間的「條約」。它甚至出現這些安全廠商的圖示以強調其合法性。趨勢科技將這個新的勒索軟體變種偵測為TROJ_REVETON.IT。

根據我們的調查顯示，這惡意軟體變種裡的DLL檔案內有一張螢幕鎖定圖檔，其中包含多家防毒廠商的標誌。文字敘述為：

「為了讓警察工作更有效率，已與防毒軟體開發公司簽署一項國際條約，用於識別網路犯罪分子。」

當然，這只是用來誘騙人們相信其合法性的詭計。一旦這惡意軟體被執行，它會鎖住使用者電腦，並顯示假訊息：

「你已觸犯法律，電腦已被鎖定,你的行為非法且會導致刑事責任。」

警察勒索軟體為人所知的就是會宣稱使用者違反法律，進而鎖住系統。他們必須支付一大筆罰款以再次使用自己的電腦。我們還觀察到勒索警告頁面或圖形使用者界面（GUI）常常會改變。這可能是惡意軟體社交工程陷阱( Social Engineering)伎倆的一部分。

繼續閱讀

勒索軟體拿MBR當人質

2012 年 05 月 02 日2012 年 04 月 29 日趨勢科技 TrendMicro

趨勢科技發現跟之前所看到不同的勒索軟體變種。一個典型的勒索軟體 Ransomware會加密檔案或限制使用者使用受感染系統。但趨勢科技發現這個特殊變種會感染主要開機磁區（MBR），防止作業系統被啟動。根據趨勢科技的分析，這個惡意程式會複製原本的MBR，再用自己的惡意程式碼覆蓋掉。一旦感染完成，它會自動重新啟動系統讓感染生效。當系統重新啟動後，勒索軟體會顯示以下訊息：

這個訊息告訴使用者這台電腦已經被封鎖了，他們需要透過支付系統QIWI交付920烏克蘭幣（UAH）到一個12位的電子錢包號碼 – 380682699268。付錢之後，他們會收到一個代碼來解鎖系統。這個代碼應該會恢復作業系統和移除感染。這特殊變種有「解鎖代碼」存在，一旦使用解鎖代碼，MBR感染就會被回復。

趨勢科技將這勒索軟體偵測為TROJ_RANSOM.AQB，而受感染的MBR則偵測繼續閱讀

《勒索軟體 Ransomware》警察木馬:不給 100 萬歐元,就讓你的電腦變石頭

2012 年 04 月 17 日2020 年 12 月 21 日趨勢科技 TrendMicro

最近幾個月以來，歐洲的網路使用者深受所謂的警察木馬這種 勒索軟體 Ransomware所擾，它會鎖住使用者的電腦，直到他們付出100歐元的罰款。是的，罰款，它偽裝當地警察來威脅受害者。這種恐嚇手法似乎很有效，因為歐洲國家感染這類木馬的受害者一直沒少過。

趨勢科技更加深入的研究了這個木馬的運作模式和其幕後黑手用來控制和接收付款的網路架構。我們發現它跟其他的惡意軟體攻擊活動關係密切，可以追溯到2010年，從 Zeus 和 CARBERP到相當近期被稱為Gamarue蠕蟲的新惡意軟體攻擊。

這個木馬的幕後黑手同時也跟其他惡意軟體有關，同時也在這個生意上投資了不少。舉例來說，趨勢科技發現他們是DNSChanger木馬的分支單位，稱為Nelicash，Rove Digital也曾經贊助過幾年。而Rove Digital背後的主要人士在2011年11月8日經過美國聯邦調查局、美國航空總署監察長辦公室、愛沙尼亞警方和趨勢科技以及其他合作夥伴兩年的調查之後被加以逮捕了。所以我們可能也發現了警察木馬幕後黑手的重要線索。

這些犯罪份子都很專業，而且也會繼續活動下去，因為這對他們來說很有錢途。這是一個很好的例子讓我們可以看到這些組織如何去跟無辜的網友來勒索錢。趨勢科技已經為這個木馬和幕後集團製作了一份內容詳盡的報告，你可以下載來全面了解這個犯罪組織。

＠原文出處：
Trojan on the Loose: An In-Depth Analysis of Police Trojan作者：David Sancho（資深威脅研究員）

@延伸閱讀:

趨勢科技協助FBI 破獲史上最大的網路犯罪始末

假冒執法警察的勒索攻擊持續蔓延在歐洲

聖誕快樂！ZeuS

Zeus 2.0.8.9 版與幽靈版控制台

手機板ZeuS 全面行動中

《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕

僵屍網路CARBERP攻陷結果報告

[延伸閱讀：從感染到付款：這份圖文解說告訴您勒索程式如何運作 (From infection to payment procedures, see how ransomware works in this infographic)]

PC-cillin 雲端版防範勒索保護個資 ✓手機✓電腦✓平板，跨平台防護３到位

假冒執法警察的勒索攻擊持續蔓延在歐洲

2012 年 03 月 22 日2015 年 05 月 25 日趨勢科技 TrendMicro

勒索軟體 Ransomware攻擊最近變得更加普及了，法國使用者最近受到來自偽國家憲兵隊的攻擊。而在幾個月前，日本使用者也遭受勒索軟體攻擊，攻擊者設下誘騙付費攻擊陷阱來針對Android智慧型手機的使用者。

去年趨勢科技也記錄了兩起針對俄羅斯使用者的勒索軟體攻擊。一次是利用加值簡訊服務來收錢，而另一次則指示受害者透過收費機來支付贖金。收費機是在俄羅斯常見的服務，讓使用者可以用來支付費用，像是付電話費。

但是，最近也出現勒索軟體 Ransomware變種針對其他歐洲國家。他們會偽造特定的國家執法單位的通知，像是比利時電子警察和德國聯邦警察。

根據趨勢科技過去 30 天主動式雲端截毒服務 Smart Protection Network的資料，下列是歐洲前八名感染勒索軟體的國家：

繼續閱讀

Laduree.fr蛋糕甜點名店網站被用來散播勒索軟體

2012 年 03 月 08 日2012 年 03 月 07 日趨勢科技 TrendMicro

在過去幾天裡，趨勢科技一直在觀察一家總部位在法國的著名甜點公司網站 – Laduree.fr。雖然它看來不像是網路犯罪份子的目標，但是Ladurée的網站被入侵以用來讓使用者感染勒索軟體（Ransomware）。這個被偵測為TROJ_RANSOM.BOV的勒索軟體Ransomware會偽裝成來自國家憲兵隊的通知（法語：Gendarmerie nationale），俗稱法國警隊。它會出現一個涵蓋了整個桌面的視窗，並要求付錢，也就是它綁架系統的贖金。

了感染連上Ladurée網站的法國使用者外，日本也有出現感染的狀況。事實證明了Ladurée點心也在日本很流行。實際上，Ladurée網站就只有法語、英語和日語三種版本。

利用一家甜點公司的網站，可以看出網路犯罪分子的確可以很有彈性地挑選攻擊目標，並且找出潛在的受害者。

相關攻擊

在這起攻擊中，攻擊者利用黑洞漏洞攻擊包（Blackhole Exploit Kit）來將惡意軟體植入系統內。這也跟過去假冒其他執法單位的攻擊時，所用惡意軟體是同個家族，像是假冒德國的聯邦警察。這惡意軟體除了具備勒索軟體組件外，也會竊取跟一長串程式和網站相關的身分認證，包括了在地的電子郵件帳號、瀏覽器密碼、社群網站、撲克網站、FTP密碼和遠端桌面程式。繼續閱讀