StopCrypt:分布最广泛的勒索软件演变为逃避检测 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

StopCrypt:分布最广泛的勒索软件演变为逃避检测

胡金鱼 技术 2024-04-09 12:00:00
184239
收藏

导语:StopCrypt 正逐渐演变为一种更加隐秘和强大的威胁。

StopCrypt 勒索软件(又名 STOP)的新变种在野外被发现,它采用涉及 shellcode 的多阶段执行过程来逃避安全工具。

StopCrypt,也称为 STOP Djvu,是现有的分布最广泛的勒索软件之一。

因为这种勒索软件操作通常不针对企业,而是针对消费者,经常产生数万笔 400 至 1000 美元的小额赎金,以至于很少听到安全研究人员讨论 STOP。

STOP勒索软件通常通过恶意广告和可疑网站传播,这些网站会分发伪装成免费软件、游戏作弊和软件破解的广告软件捆绑包。

然而,当安装这些程序时,用户就会感染各种恶意软件,包括密码窃取木马和 STOP 勒索软件。

自 2018 年首次发布以来,勒索软件加密器没有太大变化,发布的新版本主要是为了修复关键问题。因此,当新的STOP版本发布时,由于受到影响的人数较多,值得关注。

新的多阶段执行

威胁研究团队在野外发现的 STOP 勒索软件新变种,现在利用多阶段执行机制。

最初,恶意软件加载一个看似不相关的 DLL 文件 (msim32.dll),可能是为了转移注意力。它还实现了一系列长时间延迟循环,可能有助于绕过与时间相关的安全措施。

接下来,它使用堆栈上动态构造的 API 调用来为读/写和执行权限分配必要的内存空间,从而使检测变得更加困难。

StopCrypt 使用 API 调用进行各种操作,包括拍摄正在运行的进程的快照以了解其运行环境。

下一阶段涉及进程空洞,其中 StopCrypt 劫持合法进程并注入其有效负载以在内存中谨慎执行。这是通过一系列精心编排的 API 调用来操作进程内存和控制流来完成的。

一旦执行了最终的有效负载,就会发生一系列操作来确保勒索软件的持久性,修改访问控制列表(ACL)以拒绝用户删除重要恶意软件文件和目录的权限,并创建一个计划任务来每隔一段时间执行一次有效负载5分钟。

scheduled-task.webp.jpg

StopCrypt的计划任务

文件已加密,并且新名称后会附加“.msjd”扩展名。然而,有数百个与 STOP 勒索软件相关的扩展。

最后,在每个受影响的文件夹中都会创建名为“_readme.txt”的勒索字条,向受害者指示支付赎金以检索数据。

note.webp.jpg

勒索信样本

StopCrypt 正逐渐演变为更加隐秘和强大的威胁,尽管 StopCrypt 的金钱要求并不高,而且其运营商也不会进行数据盗窃,但它仍会对许多人造成巨大损失。

文章翻译自:https://www.bleepingcomputer.com/news/security/stopcrypt-most-widely-distributed-ransomware-evolves-to-evade-detection/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2024 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务