您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
StopCrypt:分布最廣泛的勒索軟件演變?yōu)樘颖軝z測
StopCrypt 勒索軟件(又名 STOP)的新變種在野外被發(fā)現(xiàn),它采用涉及 shellcode 的多階段執(zhí)行過程來逃避安全工具。
StopCrypt,也稱為 STOP Djvu,是現(xiàn)有的分布最廣泛的勒索軟件之一。
因為這種勒索軟件操作通常不針對企業(yè),而是針對消費者,經(jīng)常產(chǎn)生數(shù)萬筆 400 至 1000 美元的小額贖金,以至于很少聽到安全研究人員討論 STOP。
STOP勒索軟件通常通過惡意廣告和可疑網(wǎng)站傳播,這些網(wǎng)站會分發(fā)偽裝成免費軟件、游戲作弊和軟件破解的廣告軟件捆綁包。
然而,當(dāng)安裝這些程序時,用戶就會感染各種惡意軟件,包括密碼竊取木馬和 STOP 勒索軟件。
自 2018 年首次發(fā)布以來,勒索軟件加密器沒有太大變化,發(fā)布的新版本主要是為了修復(fù)關(guān)鍵問題。因此,當(dāng)新的STOP版本發(fā)布時,由于受到影響的人數(shù)較多,值得關(guān)注。
新的多階段執(zhí)行
威脅研究團(tuán)隊在野外發(fā)現(xiàn)的 STOP 勒索軟件新變種,現(xiàn)在利用多階段執(zhí)行機(jī)制。
最初,惡意軟件加載一個看似不相關(guān)的 DLL 文件 (msim32.dll),可能是為了轉(zhuǎn)移注意力。它還實現(xiàn)了一系列長時間延遲循環(huán),可能有助于繞過與時間相關(guān)的安全措施。
接下來,它使用堆棧上動態(tài)構(gòu)造的 API 調(diào)用來為讀/寫和執(zhí)行權(quán)限分配必要的內(nèi)存空間,從而使檢測變得更加困難。
StopCrypt 使用 API 調(diào)用進(jìn)行各種操作,包括拍攝正在運行的進(jìn)程的快照以了解其運行環(huán)境。
下一階段涉及進(jìn)程空洞,其中 StopCrypt 劫持合法進(jìn)程并注入其有效負(fù)載以在內(nèi)存中謹(jǐn)慎執(zhí)行。這是通過一系列精心編排的 API 調(diào)用來操作進(jìn)程內(nèi)存和控制流來完成的。
一旦執(zhí)行了最終的有效負(fù)載,就會發(fā)生一系列操作來確保勒索軟件的持久性,修改訪問控制列表(ACL)以拒絕用戶刪除重要惡意軟件文件和目錄的權(quán)限,并創(chuàng)建一個計劃任務(wù)來每隔一段時間執(zhí)行一次有效負(fù)載5分鐘。
StopCrypt的計劃任務(wù)
文件已加密,并且新名稱后會附加“.msjd”擴(kuò)展名。然而,有數(shù)百個與 STOP 勒索軟件相關(guān)的擴(kuò)展。
最后,在每個受影響的文件夾中都會創(chuàng)建名為“_readme.txt”的勒索字條,向受害者指示支付贖金以檢索數(shù)據(jù)。
勒索信樣本
StopCrypt 正逐漸演變?yōu)楦与[秘和強(qiáng)大的威脅,盡管 StopCrypt 的金錢要求并不高,而且其運營商也不會進(jìn)行數(shù)據(jù)盜竊,但它仍會對許多人造成巨大損失。
參考及來源:https://www.bleepingcomputer.com/news/security/stopcrypt-most-widely-distributed-ransomware-evolves-to-evade-detection/
來源:嘶吼專業(yè)版