Μια νέα παραλλαγή του StopCrypt ransomware (γνωστό και ως STOP) χρησιμοποιεί μια αλυσίδα μόλυνσης πολλαπλών σταδίων για την αποφυγή εργαλείων ασφαλείας.
Παρόλο που το StopCrypt δεν ακούγεται συχνά, είναι ίσως το πιο διαδεδομένο ransomware. Ο λόγος που δεν ακούμε για επιθέσεις του StopCrypt (όπως ακούμε για άλλες ομάδες όπως οι LockBit, BlackCat και Clop) είναι επειδή αυτή η λειτουργία ransomware δεν στοχεύει συνήθως businesses αλλά απλούς καταναλωτές. Στόχος της ομάδας είναι να συλλέξει δεκάδες χιλιάδες μικρές πληρωμές λύτρων από 400 έως 1.000 $, αντί να ζητήσει ransom ύψους πολλών εκατομμυρίων δολαρίων.
Το ransomware διανέμεται συνήθως μέσω κακόβουλων διαφημίσεων και sites που διανέμουν adware bundles μεταμφιεσμένα σε δωρεάν λογισμικό, game cheats και software cracks.
Ωστόσο, κατά την εγκατάσταση αυτών των προγραμμάτων, αρχίζει η μόλυνση με διάφορα κακόβουλα λογισμικά, συμπεριλαμβανομένων trojans κλοπής κωδικών πρόσβασης και του StopCrypt ransomware.
Το ransomware εμφανίστηκε πρώτη φορά το 2018, και το ransomware encryptor δεν έχει αλλάξει πολύ. Οι νέες εκδόσεις συνήθως διορθώνουν προβλήματα που εμφανίζονται.
See also: Law enforcement authorities influence ransomware groups
Νέα έκδοση με μόλυνση πολλαπλών σταδίων
Η SonicWall Revealed μια νέα παραλλαγή του ransomware StopCrypt που χρησιμοποιεί πλέον έναν μηχανισμό εκτέλεσης πολλαπλών σταδίων.
Αρχικά, το κακόβουλο λογισμικό φορτώνει ένα φαινομενικά άσχετο Archive DLL (msim32.dll). Εφαρμόζει επίσης μια σειρά long time-delaying loops που βοηθούν στην παράκαμψη μέτρων ασφαλείας που σχετίζονται με το χρόνο.
Στη συνέχεια, χρησιμοποιεί dynamically constructed API calls στο stack για να εκχωρήσει τον απαραίτητο χώρο μνήμης για δικαιώματα read/write και εκτέλεσης. Με αυτόν τον τρόπο, ο εντοπισμός γίνεται πιο δύσκολος.
Το StopCrypt ransomware χρησιμοποιεί API calls για διάφορες ενέργειες, συμπεριλαμβανομένης της λήψης snapshots για τις διεργασίες που εκτελούνται. Αυτό βοηθά το malware να κατανοήσει καλύτερα το περιβάλλον στο οποίο λειτουργεί.
See also: LockBit ransomware: jailed hacker-member of the group
Στο επόμενο στάδιο, το StopCrypt παραβιάζει τις νόμιμες διεργασίες και εισάγει το payload του για διακριτική εκτέλεση στη μνήμη. Αυτό γίνεται μέσω μιας σειράς προσεκτικά ενορχηστρωμένων API calls.
Μόλις εκτελεστεί το τελικό payload, ξεκινούν ενέργειες που εξασφαλίζουν την παραμονή του ransomware in the contaminated system and the τροποποίηση access control lists (ACL) ώστε να μην μπορούν οι χρήστες να διαγράφουν σημαντικά malware files. Επιπλέον, δημιουργείται ένα scheduled task για την εκτέλεση του payload κάθε πέντε λεπτά.
Με την κρυπτογράφηση των αρχείων, προσαρτάται μια επέκταση “.msjd”. Ωστόσο, έχουν παρατηρηθεί εκατοντάδες επεκτάσεις που σχετίζονται με το StopCrypt ransomware.
Στο τέλος, εμφανίζεται ένα σημείωμα λύτρων με το όνομα “_readme.txt” σε κάθε φάκελο που επηρεάζεται. Εκεί, τα θύματα μπορούν να βρουν τις απαραίτητες οδηγίες για την πληρωμή των λύτρων.
Προστασία από StopCrypt ransomware
Ένας από τους πιο αποτελεσματικούς τρόπους για την προστασία από το ransomware είναι η χρήση αξιόπιστου λογισμικού ασφάλειας. Το λογισμικό αυτό θα πρέπει να περιλαμβάνει protection από ιούς, malware, spyware και φυσικά ransomware.
Η Education είναι άλλη μία σημαντική στρατηγική. Οι χρήστες πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με το άνοιγμα ύποπτων email ή την επίσκεψη σε μη ασφαλείς ιστοσελίδες.
See also: SMBs are receiving more ransomware attacks than ever before!
Η δημιουργία και η συχνή ενημέρωση των αντιγράφων ασφαλείας είναι ένας άλλος αποτελεσματικός τρόπος προστασίας. Σε περίπτωση που ένα σύστημα γίνει στόχος ransomware (π.χ. StopCrypt ransomware), τα αντίγραφα ασφαλείας μπορούν να χρησιμοποιηθούν για την αποκατάσταση των data.
Also, the ενημέρωση και η συντήρηση των συστημάτων και των εφαρμογών είναι ζωτικής σημασίας. Οι επιτιθέμενοι συχνά εκμεταλλεύονται τα κενά Security σε παλιότερες εκδόσεις του λογισμικού για να εισβάλλουν στα συστήματα.
Finally, the use of εργαλείων προστασίας της ιδιωτικότητας, όπως το VPN, μπορεί να βοηθήσει στην προστασία από το ransomware. Τα VPN μπορούν να κρύψουν την ταυτότητα του χρήστη και να παρέχουν επιπλέον στρώμα Security.
Source : www.bleepingcomputer.com
 χρησιμοποιεί μια αλυσίδα μόλυνσης πολλαπλών σταδίων για την αποφυγή εργαλείων){kind=link}