CARBERP - 資安趨勢部落格

《勒索軟體 Ransomware》警察木馬:不給 100 萬歐元,就讓你的電腦變石頭

2012 年 04 月 17 日2020 年 12 月 21 日趨勢科技 TrendMicro

最近幾個月以來，歐洲的網路使用者深受所謂的警察木馬這種 勒索軟體 Ransomware所擾，它會鎖住使用者的電腦，直到他們付出100歐元的罰款。是的，罰款，它偽裝當地警察來威脅受害者。這種恐嚇手法似乎很有效，因為歐洲國家感染這類木馬的受害者一直沒少過。

趨勢科技更加深入的研究了這個木馬的運作模式和其幕後黑手用來控制和接收付款的網路架構。我們發現它跟其他的惡意軟體攻擊活動關係密切，可以追溯到2010年，從 Zeus 和 CARBERP到相當近期被稱為Gamarue蠕蟲的新惡意軟體攻擊。

這個木馬的幕後黑手同時也跟其他惡意軟體有關，同時也在這個生意上投資了不少。舉例來說，趨勢科技發現他們是DNSChanger木馬的分支單位，稱為Nelicash，Rove Digital也曾經贊助過幾年。而Rove Digital背後的主要人士在2011年11月8日經過美國聯邦調查局、美國航空總署監察長辦公室、愛沙尼亞警方和趨勢科技以及其他合作夥伴兩年的調查之後被加以逮捕了。所以我們可能也發現了警察木馬幕後黑手的重要線索。

這些犯罪份子都很專業，而且也會繼續活動下去，因為這對他們來說很有錢途。這是一個很好的例子讓我們可以看到這些組織如何去跟無辜的網友來勒索錢。趨勢科技已經為這個木馬和幕後集團製作了一份內容詳盡的報告，你可以下載來全面了解這個犯罪組織。

＠原文出處：
Trojan on the Loose: An In-Depth Analysis of Police Trojan作者：David Sancho（資深威脅研究員）

@延伸閱讀:

趨勢科技協助FBI 破獲史上最大的網路犯罪始末

假冒執法警察的勒索攻擊持續蔓延在歐洲

聖誕快樂！ZeuS

Zeus 2.0.8.9 版與幽靈版控制台

手機板ZeuS 全面行動中

《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕

僵屍網路CARBERP攻陷結果報告

[延伸閱讀：從感染到付款：這份圖文解說告訴您勒索程式如何運作 (From infection to payment procedures, see how ransomware works in this infographic)]

PC-cillin 雲端版防範勒索保護個資 ✓手機✓電腦✓平板，跨平台防護３到位

《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕

2012 年 04 月 06 日2012 年 03 月 27 日趨勢科技 TrendMicro

一個值得慶祝的消息，俄羅斯特警隊在俄羅斯逮捕了八個人。Gary Warner（阿拉巴馬大學伯明罕分校）在他的部落格內針對這個逮捕事件有篇很棒的文章，所以我在這裡就不再重複細節了。

雖說如此，我還是想說這是另一個很好的例子，顯示民間企業研究單位和國際執法組織之間如何進行跨國合作。趨勢科技希望在未來我們可以看到更多像這樣的例子，讓那些可惡的網路犯罪分子不再以為他們躲在法律鞭長莫及的地方。

網路犯罪分子不該認為他們可以隱藏在任何特定國家或司法管轄區域，而且因為國際法律的差異而避免被起訴。這起事件，還有最近在東歐的逮捕事件，都顯示了執法單位的跨國行動還是可以逮到他們。

就像Warner教授的部落格中所提到，趨勢科技的威脅研究部門在幾年前就對CARBERP做了相當的研究，特別是深入地去舉出被當做目標攻擊的受害者。趨勢科技看到了在政府單位、產業界、學術界都有被當成目標攻擊的受害者，而且有許多的受害者銀行帳戶在不知不覺中被竊取了金錢。

CARBERP是一個特別討厭的銀行木馬，可以在沒有管理員權限下安裝，也能有效地躲過Windows 7和Vista的使用者帳戶控制（UAC）功能。

雖然CARBERP的數量跟普及程度看起來還不及ZeuS和SpyEye，但自從CARBERP在2009年下半年出現開始，趨勢科技看到了數量一直在穩定的成長（見圖1）。

此外，根據趨勢科技的記錄顯示，幾乎有四分之一的CARBERP病毒感染發生在德國（見圖2）。