Программа-вымогатель STOP, более распространенная, чем LockBit, получила более скрытную версию

StopCrypt, самое распространенное семейство программ-вымогателей 2023 года, имеет новый вариант, использующий более продвинутую тактику уклонения.

StopCrypt, также известный как STOP/DJVU, превзошел семейство вымогателей LockBit по количеству обнаружений в 2023 году. согласно ежегодному отчету Trend Micro по кибербезопасности за 2023 год. опубликовано на прошлой неделе. СТОП обычно нацелен на более мелкие цели со средним размером выкупа в размере 619 долларов США в первой половине 2023 года. согласно полугодовому отчету Chainaанализа.

СоникВолл сообщил во вторник что новый вариант StopCrypt использует несколько тактик обхода в многоэтапном процессе развертывания шелл-кода, включая длинный цикл задержки, динамическое разрешение API и очистку процесса или замену кода в законном исполняемом файле на вредоносный код.

Вымогатель Msjd StopCrypt пытается обойти антивирусную защиту

Вариант StopCrypt, изученный Capture Labs компании SonicWall, начинает свою скрытую миссию с копирования одних и тех же данных в место более 65 миллионов раз в цикле задержки, который, вероятно, предназначен для уклонения от чувствительных ко времени антивирусных механизмов, таких как песочница.

Затем он использует несколько этапов динамического разрешения API — вызов API во время выполнения, а не связывание их напрямую. Это предотвращает обнаружение антивирусом артефактов, созданных прямыми вызовами API из статических ссылок в коде вредоносного ПО.

После создания снимка текущих процессов с помощью CreateToolHelp32Snapshot, извлечения информации с помощью Module32First и вызова VirtualAlloc для выделения памяти с разрешениями на чтение, запись и выполнение, вредоносная программа переходит на второй этап, на котором она динамически вызывает дополнительные API для выполнения процесса.

Ntdll_NtWriteVirtualMemory используется для записи вредоносного кода в приостановленный процесс, созданный с помощью kernel32_CreateProcessA.

Когда приостановленный процесс возобновляется, последняя полезная нагрузка программы-вымогателя запускает icacls.exe для изменения списков управления доступом, чтобы предотвратить возможность изменения или удаления нового каталога и файлов, созданных StopCrypt. Программа-вымогатель шифрует файлы пользователя и добавляет к ним расширение «.msjd».

В записке о вымогателе, обнаруженной в варианте, изученном SonicWall, содержится требование о выплате 980 долларов США с предложением «скидки» в размере 490 долларов США, если жертва свяжется с злоумышленником в течение 72 часов.

Вариант STOP, описанный SonicWall, имеет сходство с вариантом обнаружен исследователями PCrisk в прошлом году, который изначально был отправлен через VirusTotal. Сходства включают расширение файла «.msjd» и записку о выкупе, включая контактную информацию злоумышленника.