StopCrypt进一步规避检测,最广泛分布的勒索软件出现新变种
2024-3-15 18:28:1 Author: mp.weixin.qq.com(查看原文) 阅读量:8 收藏

2024年3月12日,SonicWall Capture Labs威胁研究团队发布了一篇博客,称最近发现了StopCrypt勒索软件的一个新变种。该勒索软件在启动最终加密代码之前,利用多阶段shellcode执行其恶意活动,以逃避安全工具的检测。

StopCrypt(又称STOP Djvu),是现下最广泛分布的勒索软件之一,但在圈内讨论度比较低。其之所以名声不显,是因为StopCrypt通常不是针对企业,而是针对消费者。相较LockBit、BlackCat、Clop等动辄数百万美元的赎金要求,StopCrypt更倾向于从数量上着手,通过无数个400到1000美元的小额赎金获利。

StopCrypt以量取胜的特点,反映到现实中便是其常常通过恶意广告或是免费软件、游戏作弊器、破解软件等的分发网站进行传播。当受害者安装这些程序后,其设备就会感染各种恶意软件(如勒索软件、窃密木马等)。

StopCrypt自2018年首次发布以来,这种勒索软件加密器并没有太大变化,新版本主要是为了修复关键问题。因此,SonicWall研究人员对新的STOP变种密切关注,因为可能会有大量用户受到影响。

根据SonicWall威胁研究团队的博客,该恶意软件在最初执行时,会创建并加载一个未知目的的DLL文件(msim32.dll),可能是为了转移注意力。恶意代码在执行期间使用了许多延迟循环技术,可能是想通过人为延长恶意代码的执行时间,来防范对时间敏感的沙盒和安全机制。

接下来,它使用动态构建的API调用来在堆栈上分配必要的内存空间,以进行读/写和执行权限,这使得检测更加困难。

执行最终载荷后,为确保勒索软件的持久性,其会启动“icacls.exe”进程(用于在Windows中查看和修改访问控制列表ACLs的命令行实用程序),以拒绝Everyone组对指定文件或目录及其内容的删除权限。同时创建一个定时任务,每五分钟执行一次最终载荷的副本。


接下来勒索软件便会对文件进行加密,并在加密文件上添加.msjd扩展名。最后,在每个受影响的文件夹中创建一个名为“_readme.txt”的赎金说明,向受害者提供支付赎金以恢复数据的指示。

博客链接:https://blog.sonicwall.com/en-us/2024/03/new-multi-stage-stopcrypt-ransomware/

编辑:左右里

资讯来源:sonicwall

转载请注明出处和本文链接

每日涨知识

密码学(cryptography)

应用于数据的算法,用于确保机密性、完整性、身份认证和/或不可否认性。



球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458546111&idx=2&sn=0a7277b1b57bb11d2d127417ceaa647e&chksm=b18d5f3586fad623c79867508768154717ec472482a1d7673ce09cf59f2f34b2418c39d9bf79&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh