StopCrypt:分布最广泛的勒索软件演变为逃避检测
导语:StopCrypt 正逐渐演变为一种更加隐秘和强大的威胁。
StopCrypt 勒索软件(又名 STOP)的新变种在野外被发现,它采用涉及 shellcode 的多阶段执行过程来逃避安全工具。
StopCrypt,也称为 STOP Djvu,是现有的分布最广泛的勒索软件之一。
因为这种勒索软件操作通常不针对企业,而是针对消费者,经常产生数万笔 400 至 1000 美元的小额赎金,以至于很少听到安全研究人员讨论 STOP。
STOP勒索软件通常通过恶意广告和可疑网站传播,这些网站会分发伪装成免费软件、游戏作弊和软件破解的广告软件捆绑包。
然而,当安装这些程序时,用户就会感染各种恶意软件,包括密码窃取木马和 STOP 勒索软件。
自 2018 年首次发布以来,勒索软件加密器没有太大变化,发布的新版本主要是为了修复关键问题。因此,当新的STOP版本发布时,由于受到影响的人数较多,值得关注。
新的多阶段执行
威胁研究团队在野外发现的 STOP 勒索软件新变种,现在利用多阶段执行机制。
最初,恶意软件加载一个看似不相关的 DLL 文件 (msim32.dll),可能是为了转移注意力。它还实现了一系列长时间延迟循环,可能有助于绕过与时间相关的安全措施。
接下来,它使用堆栈上动态构造的 API 调用来为读/写和执行权限分配必要的内存空间,从而使检测变得更加困难。
StopCrypt 使用 API 调用进行各种操作,包括拍摄正在运行的进程的快照以了解其运行环境。
下一阶段涉及进程空洞,其中 StopCrypt 劫持合法进程并注入其有效负载以在内存中谨慎执行。这是通过一系列精心编排的 API 调用来操作进程内存和控制流来完成的。
一旦执行了最终的有效负载,就会发生一系列操作来确保勒索软件的持久性,修改访问控制列表(ACL)以拒绝用户删除重要恶意软件文件和目录的权限,并创建一个计划任务来每隔一段时间执行一次有效负载5分钟。
StopCrypt的计划任务
文件已加密,并且新名称后会附加“.msjd”扩展名。然而,有数百个与 STOP 勒索软件相关的扩展。
最后,在每个受影响的文件夹中都会创建名为“_readme.txt”的勒索字条,向受害者指示支付赎金以检索数据。
勒索信样本
StopCrypt 正逐渐演变为更加隐秘和强大的威胁,尽管 StopCrypt 的金钱要求并不高,而且其运营商也不会进行数据盗窃,但它仍会对许多人造成巨大损失。
发表评论