Исследователи наткнулись на новый вариант программы-вымогателя StopCrypt (также его называют STOP), который теперь использует многоступенчатый процесс выполнения, включающий шелл-коды, что помогает уйти от детектирования защитными средствами.
StopCrypt выделяется на фоне других шифровальщиков масштабами операций. На сегодняшний день это самый широко распространяемый вредонос такого класса.
Тем не менее, когда речь заходит о шифровальщиках, мы чаще слышим про LockBit, BlackCat и Clop, чем про StopCrypt. Почему? Ответ прост: операторы этого зловреда предпочитают атаковать пользователей, а не организации.
Расчёт злоумышленников — собрать множество мелких сумм выкупа (от 400 до 1000 долларов), не гоняясь за миллионами. Как правило, программа-вымогатель распространяется через вредоносную рекламу и в связке с адваре.
С 2018 года, когда StopCrypt был впервые замечен в атаках, компонент шифратора практически не изменился. Новые версии вредоноса выпускаются с целью устранить критические баги.
Команда исследователей из SonicWall недавно наткнулась на новый вариант StopCrypt. Отличаются новые семплы многоступенчатым механизмом выполнения.
Сначала вымогатель загружает малозначимую библиотеку msim32.dll, скорее всего, для отвлечения внимания. Позже происходит ряд лупов, задерживающих время, что позволяет обойти проверки защитными средствами.
Дальше динамически созданные API-запросы помогают программе выделить необходимое пространство памяти для разрешения на чтение-запись.
Следующим шагом StopCrypt перехватывает легитимные процессы и внедряет пейлоад, который выполняется в памяти. Эти образцы добавляют к зашифрованным файлам расширение «.msjd».
