Спецпроекты

Безопасность Администратору Стратегия безопасности Техника

Самый распространенный, но редко вспоминаемый троян-шифровальщик научился отвлекать внимание защитного ПО

Вышла новая версия шифровальщика-вымогателя StopCrypt, который является самым широко распространённым вредоносом подобного рода. Про него говорят и пишут довольно редко, потому что он атакует не бизнес, а рядовых пользователей

Курочка по зёрнышку

Компания SonicWall опубликовала исследование шифровальщика StopCrypt.

StopCrypt (он же STOP Djvu) является де-факто самым распространённым шифровальщиков из всех существующих - и при этом о нём говорят довольно редко. Причина проста: в отличие от LockBit, BlackCat и других известных вредоносов подобного рода StopCrypt атакует не организации, а индивидуальных пользователей. За ключ дешифровки злоумышленники вымогают от $400 до $1000, что не идёт ни в какое сравнение с масштабными суммами, вымогаемыми у бизнеса.

Шифровальщик Stop распространяется через вредоносную рекламу и сомнительные сайты - в основном под видом бесплатного ПО, игровых читов и средств взлома коммерческих программных пакетов.

Вышла новая версия шифровальщика-вымогателя StopCrypt, самого широко распространенного вредоноса подобного рода

Вместо ожидаемых программ недобросовестные пользователи получают целый зоопарк различных вредоносов, которые крадут их пароли и шифруют данные.

В материале Bleeping Computer заявили, что в ветке форума технической помощи, посвящённой данному шифровальщику, уже 807 страниц.

По частям и с большими паузами

Шифровальщик объявился в 2018 г., и с тех пор мало менялся. Его разработчики лишь устраняли различные критические проблемы кода, например, те, которые позволяли расшифровывать данные без выплаты выкупа.

Новая версия шифровальщика использует многоэтапный механизм запуска. В начале загружается совершенно посторонняя DLL-библиотека (msim32.dll), вероятно, с целью отвлечь внимание защитных программ. Кроме того, другие этапы запуска разделены длительными временными промежутками, очевидно, чтобы сбить с толку защитные средства.

Вредонос использует динамически формируемые API-вызовы в стеке, чтобы зарезервировать необходимое себе пространство в памяти для чтения и записи, а также изменения разрешений, - опять-таки с целью затруднить выявление.

Через API-вызов также осуществляется сбор данных об активных процессах, их перехват и загрузка в них вредоносного содержимого в память для дискретного запуска.

Эксперты отмечают, что все эти операции выполняются через серию «тщательно выверенных» API-вызовов, которые манипулируют памятью процессов и потоком выполнения.

После загрузки финального содержимого, вредонос предпринимает ряд мер для обеспечения постоянства присутствия. Помимо прочего программа модицирует список контроля доступа так, чтобы пользователи не смогли удалить ключевые файлы вредоноса и его каталоги. Кроме того, создаётся системное задание Windows по запуску вредоносного компонента каждые пять минут.

Шифровальщик использует сотни разных расширений для зашифрованных файлов - его операторы меняют их регулярно. Тоже, по-видимому, с целью повышения скрытности.

«Только для очень толстых кошельков сумма в 400-1000 долларов, которую требуют вымогатели, не будет болезненной, - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - Многие популярные коммерческие программы стоят намного меньше. Единственный гарантированный способ не столкнуться со StopCrypt - это не пытаться скачивать сомнительный софт из непроверенных источников, особенно это касается средств взлома защиты ПО. Попытки сэкономить с высокой вероятностью приведут к противоположным результатам, только вот заплатить придётся преступникам».

Эксперты SonicWall отмечают, что StopCrypt эволюционирует в сторону всё большей незаметности и эффективности, и это иллюстрирует весьма тревожащую тенденцию в киберкриминале. Ранее авторы вредоносов фокусировались на крупном бизнесе, однако тот учится защищаться от шифровальщиков и всё реже готов платить выкуп. Получить деньги с рядовых пользователей злоумышленникам порой намного проще.

Роман Георгиев

Короткая ссылка