StopCrypt:分布最广泛的勒索软件演变为逃避检测
2024-4-9 12:0:0 Author: www.4hou.com(查看原文) 阅读量:7 收藏

胡金鱼 技术 刚刚发布

2053

收藏

导语:StopCrypt 正逐渐演变为一种更加隐秘和强大的威胁。

StopCrypt 勒索软件(又名 STOP)的新变种在野外被发现,它采用涉及 shellcode 的多阶段执行过程来逃避安全工具。

StopCrypt,也称为 STOP Djvu,是现有的分布最广泛的勒索软件之一。

因为这种勒索软件操作通常不针对企业,而是针对消费者,经常产生数万笔 400 至 1000 美元的小额赎金,以至于很少听到安全研究人员讨论 STOP。

STOP勒索软件通常通过恶意广告和可疑网站传播,这些网站会分发伪装成免费软件、游戏作弊和软件破解的广告软件捆绑包。

然而,当安装这些程序时,用户就会感染各种恶意软件,包括密码窃取木马和 STOP 勒索软件。

自 2018 年首次发布以来,勒索软件加密器没有太大变化,发布的新版本主要是为了修复关键问题。因此,当新的STOP版本发布时,由于受到影响的人数较多,值得关注。

新的多阶段执行

威胁研究团队在野外发现的 STOP 勒索软件新变种,现在利用多阶段执行机制。

最初,恶意软件加载一个看似不相关的 DLL 文件 (msim32.dll),可能是为了转移注意力。它还实现了一系列长时间延迟循环,可能有助于绕过与时间相关的安全措施。

接下来,它使用堆栈上动态构造的 API 调用来为读/写和执行权限分配必要的内存空间,从而使检测变得更加困难。

StopCrypt 使用 API 调用进行各种操作,包括拍摄正在运行的进程的快照以了解其运行环境。

下一阶段涉及进程空洞,其中 StopCrypt 劫持合法进程并注入其有效负载以在内存中谨慎执行。这是通过一系列精心编排的 API 调用来操作进程内存和控制流来完成的。

一旦执行了最终的有效负载,就会发生一系列操作来确保勒索软件的持久性,修改访问控制列表(ACL)以拒绝用户删除重要恶意软件文件和目录的权限,并创建一个计划任务来每隔一段时间执行一次有效负载5分钟。

scheduled-task.webp.jpg

StopCrypt的计划任务

文件已加密,并且新名称后会附加“.msjd”扩展名。然而,有数百个与 STOP 勒索软件相关的扩展。

最后,在每个受影响的文件夹中都会创建名为“_readme.txt”的勒索字条,向受害者指示支付赎金以检索数据。

note.webp.jpg

勒索信样本

StopCrypt 正逐渐演变为更加隐秘和强大的威胁,尽管 StopCrypt 的金钱要求并不高,而且其运营商也不会进行数据盗窃,但它仍会对许多人造成巨大损失。

文章翻译自:https://www.bleepingcomputer.com/news/security/stopcrypt-most-widely-distributed-ransomware-evolves-to-evade-detection/如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/WKYE
如有侵权请联系:admin#unsafe.sh