2023年最常见勒索病毒家庭StopCrypt的新变种

关键要点

StopCrypt 是 2023 年最常见的勒索病毒，已引入更先进的逃避策略。与 LockBit 勒索病毒相比，StopCrypt 在检测量上超过了它，主要目标是小型受害者。新变种利用多阶段的壳代码部署过程来避开防病毒保护。勒索金额为980美元，若在72小时内联系，将提供490美元的折扣。

根据Trend Micro 2023年网络安全报告的，StopCrypt亦称为STOP/DJVU在2023年的检测量上超过了LockBit勒索病毒。STOP病毒通常以小型目标为主，2023年上半年平均赎金为619美元，参考Chainalysis的中期报告。

白鲸加速器下载

新变种的逃避策略

根据SonicWall近期报告的说法，新变种的StopCrypt利用多种逃避技术，其多阶段的壳代码部署过程包括长延迟循环、动态API解析和进程空心化即将合法可执行文件中的代码替换为恶意代码。

StopCrypt变种在 stealth 隐形任务开始时，通过在延迟循环中将相同的数据复制到超过6500万次，可能意在躲避时间敏感的防病毒机制，例如沙箱。

接着，它使用多阶段的动态API解析，实时调用API而非直接将其链接到代码中。这种方法可以防止因静态链接的直接API调用而导致的防病毒检测。

下一阶段，它先使用CreateToolHelp32Snapshot对当前进程进行快照、运用Module32First提取信息，并调用VirtualAlloc，分配具有读、写和执行权限的内存，接着它动态调用额外API进行进程空心化。

在这一过程中，NtdllNtWriteVirtualMemory被用于将恶意代码写入通过kernel32CreateProcessA创建的挂起进程。

当挂起的进程被恢复时，最终的勒索负载会启动icaclsexe，修改访问控制列表，以防止对StopCrypt创建的新目录和文件进行修改或删除。勒索病毒会加密用户的文件，并添加扩展名“msjd”。

根据SonicWall研究的变种中发现的勒索信包含980美元的赎金要求，如果受害者在72小时内联系威胁者，赎金可降至490美元。

SonicWall描述的STOP变种与PCrisk研究人员去年发现的变种有相似之处，最初也是通过VirusTotal提交的，两个版本都有“msjd”文件扩展名，并且在勒索信中包含威胁者的联系信息。

项目细节勒索病毒名称StopCryptSTOP/DJVU检测排名超过LockBit平均赎金619美元2023年上半年新变种赎金980美元72小时内490美元折扣文件扩展名msjd

通过更复杂的逃避策略，StopCrypt变种展示了网络安全威胁的日益复杂性，用户应提高警惕。