2024年3月12日，SonicWall Capture Labs威胁研究团队发布了一篇博客，称最近发现了StopCrypt勒索软件的一个新变种。该勒索软件在启动最终加密代码之前，利用多阶段shellcode执行其恶意活动，以逃避安全工具的检测。

StopCrypt（又称STOP Djvu），是现下最广泛分布的勒索软件之一，但在圈内讨论度比较低。其之所以名声不显，是因为StopCrypt通常不是针对企业，而是针对消费者。相较LockBit、BlackCat、Clop等动辄数百万美元的赎金要求，StopCrypt更倾向于从数量上着手，通过无数个400到1000美元的小额赎金获利。

StopCrypt以量取胜的特点，反映到现实中便是其常常通过恶意广告或是免费软件、游戏作弊器、破解软件等的分发网站进行传播。当受害者安装这些程序后，其设备就会感染各种恶意软件（如勒索软件、窃密木马等）。

StopCrypt自2018年首次发布以来，这种勒索软件加密器并没有太大变化，新版本主要是为了修复关键问题。因此，SonicWall研究人员对新的STOP变种密切关注，因为可能会有大量用户受到影响。

根据SonicWall威胁研究团队的博客，该恶意软件在最初执行时，会创建并加载一个未知目的的DLL文件（msim32.dll），可能是为了转移注意力。恶意代码在执行期间使用了许多延迟循环技术，可能是想通过人为延长恶意代码的执行时间，来防范对时间敏感的沙盒和安全机制。

接下来，它使用动态构建的API调用来在堆栈上分配必要的内存空间，以进行读/写和执行权限，这使得检测更加困难。

执行最终载荷后，为确保勒索软件的持久性，其会启动“icacls.exe”进程（用于在Windows中查看和修改访问控制列表ACLs的命令行实用程序），以拒绝Everyone组对指定文件或目录及其内容的删除权限。同时创建一个定时任务，每五分钟执行一次最终载荷的副本。

接下来勒索软件便会对文件进行加密，并在加密文件上添加.msjd扩展名。最后，在每个受影响的文件夹中创建一个名为“_readme.txt”的赎金说明，向受害者提供支付赎金以恢复数据的指示。

博客链接：https://blog.sonicwall.com/en-us/2024/03/new-multi-stage-stopcrypt-ransomware/

编辑：左右里

资讯来源：sonicwall

转载请注明出处和本文链接

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！