StopCrypt 是 2023 年最常见的勒索软件系列,它有一个利用更先进的规避策略的新变体。
根据趋势科技上周发布的2023 年年度网络安全报告,StopCrypt(也称为 STOP/DJVU)在 2023 年的检测量中超过了 LockBit 勒索软件家族。根据 Chainaanalysis 的年中报告, STOP 通常针对较小的目标,2023 年上半年平均支付赎金金额为 619 美元。
SonicWall周二报道称,新的 StopCrypt 变种在多阶段 shellcode 部署过程中采用了多种规避策略,包括长延迟循环、动态 API 解析和进程空洞,或者将合法可执行文件中的代码替换为恶意代码。
“Msjd”StopCrypt 勒索软件试图躲避防病毒保护
SonicWall 捕获实验室研究的 StopCrypt 变体通过在延迟循环中将相同数据复制到某个位置超过 6500 万次来开始其秘密任务,这可能是为了躲避沙箱等时间敏感的防病毒机制。
然后,它采用动态 API 解析的多个阶段 – 在运行时调用 API,而不是直接链接它们。这可以防止反病毒检测到由恶意软件代码中的静态链接直接 API 调用创建的工件。
在使用 CreateToolHelp32Snapshot 拍摄当前进程的快照、使用 Module32First 提取信息并调用 VirtualAlloc 分配具有读、写和执行权限的内存后,恶意软件进入第二阶段,动态调用其他 API 来执行进程空洞。
Ntdll_NtWriteVirtualMemory 用于将恶意代码写入使用 kernel32_CreateProcessA 创建的挂起进程中。
当暂停的进程恢复时,最终的勒索软件负载会启动 icacls.exe 来修改访问控制列表,以防止修改或删除 StopCrypt 创建的新目录和文件。勒索软件会加密用户的文件并添加扩展名“.msjd”。
SonicWall 研究的变体中发现的勒索软件注释包括 980 美元的索价,如果受害者在 72 小时内联系威胁行为者,则可享受 490 美元的“折扣”优惠。
SonicWall 描述的 STOP 变种与PCrisk 研究人员去年发现的变种有相似之处,该变种最初是通过 VirusTotal 提交的。相似之处包括“.msjd”文件扩展名和勒索信息,其中包括威胁行为者的联系信息。
发表评论
您还未登录,请先登录。
登录