Nova varijanta StopCrypt ransomware-a (aka STOP) primijećena je u okruženju, koristeći proces izvršenja u više faza koji uključuje shell kodove za izbjegavanje sigurnosnih alata.
StopCrypt, poznat i kao STOP Djvu, je najrasprostranjeniji ransomware koji postoji za koji rijetko čujete.
Iako stalno čujete koliko su velike neke operacije ransomware-a, kao što su LockBit, BlackCat i Clop, rijetko ćete čuti kako istraživači sigurnosti raspravljaju o STOP.
To je zato što ova operacija ransomware-a obično nije ciljana na kompanije, već na potrošače, nadajući se da će generirati desetke hiljada malih isplata otkupnine od 400 do 1000 dolara umjesto jedne velike potražnje od više miliona dolara.
Ransomware se obično distribuiše putem zlonamjernog oglašavanja i sumnjivih stranica koje distribuišu pakete advera prerušenog u besplatni softver, game cheats i softverske krekove.
Međutim, kada se ovi programi instaliraju, korisnici se zaraze raznim malverom, uključujući trojance za krađu lozinki i STOP ransomware.
Ovo navodi zaražene korisnike da očajnički kontaktiraju istraživače sigurnosti, stručnjake za ransomware i našu temu STOP ransomware foruma od 807 stranica kako bi pokušali dobiti pomoć.
Od svog originalnog izdanja 2018. godine, ransomware enkriptor se nije mnogo promijenio, s novim verzijama koje su uglavnom objavljene za rješavanje kritičnih problema.
Iz tog razloga, kada se objavi nova STOP verzija, vrijedi gledati zbog velikog broja ljudi koji će biti pogođeni njom.
Novo izvođenje u više faza
SonicWall-ov tim za istraživanje prijetnji otkrio je novu varijantu STOP ransomware-a (oni ga zovu StopCrypt) u okruženju koja sada koristi višestepeni mehanizam izvršenja.
U početku, malver učitava naizgled nepovezanu DLL datoteku (msim32.dll), vjerovatno kao preusmjeravanje. Takođe implementira niz dugotrajnih petlji koje mogu pomoći da se zaobiđu sigurnosne mjere vezane za vrijeme.
Zatim, koristi dinamički konstruirane API pozive na steku da dodijeli potreban memorijski prostor za dozvole čitanja/pisanja i izvršavanja, što otežava otkrivanje.
StopCrypt koristi API pozive za različite operacije, uključujući uzimanje snimaka pokrenutih procesa kako bi se razumjelo okruženje u kojem radi.
Sljedeća faza uključuje process hollowing, gdje StopCrypt otima legitimne procese i ubacuje njihov korisni teret za diskretno izvršenje u memoriju. Ovo se radi kroz niz pažljivo orkestriranih API poziva koji manipulišu procesnom memorijom i kontrolišu tok.
Jednom kada se izvrši konačni payload, odvija se niz radnji kako bi se osigurala postojanost ransomware-a, modifikovale liste kontrole pristupa (ACL) kako bi se korisnicima uskratila dozvola za brisanje važnih datoteka i direktorija malvera, i kreira se task za izvršavanje payload-a svakih pet minuta.
Datoteke su šifrovane i njihovim novim nazivima se dodaje ekstenzija “.msjd”. Međutim, treba napomenuti da postoje stotine ekstenzija povezanih sa STOP ransomware-om jer ih često mijenjaju.
Konačno, zahtjev za otkupninom pod nazivom “_readme.txt” kreira se u svakom pogođenom folderu, dajući žrtvama uputstva o plaćanju otkupnine za preuzimanje podataka.
Evolucija StopCrypt-a u skriveniju i moćniju prijetnju naglašava zabrinjavajući trend u sajber kriminalu.
Iako novčani zahtjevi StopCrypt-a nisu visoki i njegovi operateri ne vrše krađu podataka, šteta koju može nanijeti mnogim ljudima mogla bi biti značajna.
Izvor: BleepingComputer
