2024年3月12日,SonicWall Capture Labs威胁研究团队发布了一篇博客,称最近发现了StopCrypt勒索软件的一个新变种。该勒索软件在启动最终加密代码之前,利用多阶段shellcode执行其恶意活动,以逃避安全工具的检测。
StopCrypt(又称STOP Djvu),是现下最广泛分布的勒索软件之一,但在圈内讨论度比较低。其之所以名声不显,是因为StopCrypt通常不是针对企业,而是针对消费者。相较LockBit、BlackCat、Clop等动辄数百万美元的赎金要求,StopCrypt更倾向于从数量上着手,通过无数个400到1000美元的小额赎金获利。
StopCrypt以量取胜的特点,反映到现实中便是其常常通过恶意广告或是免费软件、游戏作弊器、破解软件等的分发网站进行传播。当受害者安装这些程序后,其设备就会感染各种恶意软件(如勒索软件、窃密木马等)。
StopCrypt自2018年首次发布以来,这种勒索软件加密器并没有太大变化,新版本主要是为了修复关键问题。因此,SonicWall研究人员对新的STOP变种密切关注,因为可能会有大量用户受到影响。
根据SonicWall威胁研究团队的博客,该恶意软件在最初执行时,会创建并加载一个未知目的的DLL文件(msim32.dll),可能是为了转移注意力。恶意代码在执行期间使用了许多延迟循环技术,可能是想通过人为延长恶意代码的执行时间,来防范对时间敏感的沙盒和安全机制。
接下来,它使用动态构建的API调用来在堆栈上分配必要的内存空间,以进行读/写和执行权限,这使得检测更加困难。
执行最终载荷后,为确保勒索软件的持久性,其会启动“icacls.exe”进程(用于在Windows中查看和修改访问控制列表ACLs的命令行实用程序),以拒绝Everyone组对指定文件或目录及其内容的删除权限。同时创建一个定时任务,每五分钟执行一次最终载荷的副本。
接下来勒索软件便会对文件进行加密,并在加密文件上添加.msjd扩展名。最后,在每个受影响的文件夹中创建一个名为“_readme.txt”的赎金说明,向受害者提供支付赎金以恢复数据的指示。
编辑:左右里
资讯来源:sonicwall
转载请注明出处和本文链接
密码学(cryptography)
应用于数据的算法,用于确保机密性、完整性、身份认证和/或不可否认性。
球分享
球点赞
球在看