Vahşi doğada yeni bir Stopcrypt fidye yazılım (diğer adıyla) varyant (diğer adıyla durdurma) tespit edildi ve güvenlik araçlarından kaçmak için kabuk katlarını içeren çok aşamalı bir yürütme süreci kullanıldı.
Stop DJVU olarak da bilinen Stopcrypt, nadiren duyduğunuz en yaygın dağıtılmış fidye yazılımıdır.
Lockbit, Blackcat ve Clop gibi bazı fidye yazılımı operasyonlarının ne kadar büyük olduğunu sürekli duyurken, nadiren güvenlik araştırmacılarının durak tartışmasını duyarsınız.
Bunun nedeni, bu fidye yazılımı operasyonunun tipik olarak işletmeleri hedeflemesi, daha ziyade tüketicileri hedeflemesidir.
Fidye yazılımı, ücretsiz yazılım, oyun hileleri ve yazılım çatlakları olarak gizlenmiş reklam yazılımı demetlerini dağıtan kötüverizasyon ve gölgeli siteler yoluyla dağıtılır.
Bununla birlikte, bu programlar yüklendiğinde, kullanıcılar şifre çalma ve fidye yazılımlarını durdurma da dahil olmak üzere çeşitli kötü amaçlı yazılımlarla enfekte olurlar.
Bu, enfekte kullanıcılara yardım almaya çalışmak için güvenlik araştırmacılarına, fidye yazılımı uzmanlarına ve 807 sayfalık durdurma fidye yazılım forumu konusuna umutsuzca ulaşmalarına yol açar.
2018'deki orijinal sürümünden bu yana, fidye yazılım şifrelemesi çok fazla değişmedi, yeni sürümler çoğunlukla kritik sorunları çözmek için yayınlandı.
Bu nedenle, yeni bir durma sürümü yayınlandığında, bundan etkilenecek çok sayıda insan nedeniyle izlemeyi sağlar.
Sonicwall'un tehdit araştırma ekibi, şimdi çok aşamalı bir yürütme mekanizması kullanan vahşi doğada durdurma fidye yazılımının yeni bir varyantını (stopcrypt diyorlar) ortaya çıkardı.
Başlangıçta, kötü amaçlı yazılım, muhtemelen bir saptırma olarak görünüşte ilgisiz bir DLL dosyası (msim32.dll) yükler. Ayrıca, zamanla ilgili güvenlik önlemlerini atlamaya yardımcı olabilecek bir dizi uzun zaman gecikmeli döngü uygular.
Daha sonra, okuma/yazma ve yürütme izinleri için gerekli bellek alanını tahsis etmek için yığın üzerinde dinamik olarak oluşturulmuş API çağrıları kullanır ve algılamayı daha zor hale getirir.
Stopcrypt, API kullanır, çalıştığı çevreyi anlamak için çalışan süreçlerin anlık görüntülerini almak da dahil olmak üzere çeşitli işlemler çağrısında bulunur.
Bir sonraki aşama, Stopcrypt'in meşru süreçleri kaçırdığı ve bellede gizli yürütme için yükünü enjekte ettiği Process Hollowing'i içerir. Bu, süreç belleğini ve kontrol akışını manipüle eden bir dizi dikkatle düzenlenmiş API çağrısı ile yapılır.
Nihai yük yürütüldükten sonra, fidye yazılımları için kalıcılığı sağlamak, kullanıcıların önemli kötü amaçlı yazılım dosyalarını ve dizinlerini silme iznini reddetmek için erişim kontrol listelerini (ACL'ler) değiştirmek için bir dizi işlem gerçekleşir ve her yük yükünü yürütmek için planlanmış bir görev oluşturulur. Beş dakika.
Dosyalar şifrelenir ve yeni isimlerine ".msjd" uzantısı eklenir. Bununla birlikte, durdurma fidye yazılımıyla ilgili olarak sık sık değiştirdikleri için yüzlerce uzantının bulunduğuna dikkat edilmelidir.
Son olarak, etkilenen her klasörde "_readme.txt" adlı bir fidye notu oluşturulur ve kurbanlara veri alımı için fidye ödemek için talimatlar verir.
Stopcrypt'in daha gizli ve güçlü bir tehdide dönüşmesi, siber suçlarda rahatsız edici bir eğilimin altını çiziyor.
Stopcrypt'in parasal talepleri yüksek olmasa da ve operatörleri veri hırsızlığı gerçekleştirmese de, birçok insana verebileceği hasar önemli olabilir.
Linux için Yeni Bifrost Kötü Yazılım Mimics VMware Alanı Kaçma için
Lockbit fidye yazılımı Gizli olarak yeni nesil şifreleyiciyi yayından kaldırmadan önce inşa etmek
Yeni Rustdoor MacOS Kötü Yazılım Visual Studio Güncellemesini Taklit ediyor
Kasseika fidye yazılımı, diğer antivirüsleri öldürmek için antivirüs sürücüsü kullanır
MacOS Info-Starers, XPROTECT Tespitinden Kaçmak İçin Hızlı Gelişiyor
Kaynak: Bleeping Computer