Новости Самый масштабный шифровальщик StopCrypt научился уходить от антивирусов

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Исследователи наткнулись на новый вариант программы-вымогателя StopCrypt (также его называют STOP).


Теперь он использует многоступенчатый процесс выполнения, включающий шелл-коды, что помогает уйти от детектирования защитными средствами. StopCrypt выделяется на фоне других шифровальщиков масштабами операций.

stopcrypt_ransomware_evade_security_tools_news.png


На сегодняшний день это самый широко распространяемый вредонос такого класса. Тем не менее, когда речь заходит о шифровальщиках, мы чаще слышим про LockBit, BlackCat и Clop, чем про StopCrypt.

Почему? Ответ прост: операторы этого зловреда предпочитают атаковать пользователей, а не организации. Расчёт злоумышленников — собрать множество мелких сумм выкупа (от 400 до 1000 долларов), не гоняясь за миллионами. Как правило, программа-вымогатель распространяется через вредоносную рекламу и в связке с адваре.

С 2018 года, когда StopCrypt был впервые замечен в атаках, компонент шифратора практически не изменился. Новые версии вредоноса выпускаются с целью устранить критические баги. Команда исследователей из SonicWall недавно наткнулась на новый вариант StopCrypt. Отличаются новые семплы многоступенчатым механизмом выполнения.

Сначала вымогатель загружает малозначимую библиотеку msim32.dll, скорее всего, для отвлечения внимания. Позже происходит ряд лупов, задерживающих время, что позволяет обойти проверки защитными средствами. Дальше динамически созданные API-запросы помогают программе выделить необходимое пространство памяти для разрешения на чтение-запись.

Следующим шагом StopCrypt перехватывает легитимные процессы и внедряет пейлоад, который выполняется в памяти. Эти образцы добавляют к зашифрованным файлам расширение «.msjd».



 
Сверху Снизу