Исследователи
Это объясняется тем, что операторы StopCrypt предпочитают атаковать отдельных пользователей, а не крупные организации. Их стратегия заключается в сборе небольших выкупных сумм (от 400 до 1000 долларов), вместо того чтобы преследовать большие суммы. Обычно вредоносная программа StopCrypt распространяется через вредоносную рекламу и совместно с адваре.
Группа специалистов по кибербезопасности из SonicWall выявила новую версию вредоносного ПО STOP, которая использует сложные методы выполнения в несколько этапов. Этот вирус загружает отдельный DLL-файл (msim32.dll), вероятно, для маскировки своей активности, и использует длительные задержки времени, чтобы обойти временные защитные меры. После этапа загрузки вирус применяет метод "Process Hollowing", который позволяет StopCrypt захватывать легальные процессы и внедрять свою вредоносную нагрузку для скрытого выполнения в памяти. Это достигается через последовательность точно настроенных вызовов API, управляющих памятью процесса и потоком выполнения.
После завершения вредоносной нагрузки вирус выполняет ряд действий для обеспечения постоянной активности вымогательского ПО. Это включает изменение списков контроля доступа (ACL) для предотвращения удаления важных файлов и директорий, а также создание запланированной задачи для запуска вредоносной нагрузки каждые пять минут. В результате файлы на компьютере зашифровываются, а к их именам добавляется расширение ".msjd". Кроме того, в каждой затронутой папке появляется текстовый файл с инструкциями о том, как оплатить выкуп за расшифровку данных.
Ссылка скрыта от гостей
новую версию вредоносной программы StopCrypt (также известной как STOP), которая теперь использует сложный многоступенчатый процесс выполнения с использованием шелл-кодов, что делает ее более эффективной в обходе защитных механизмов. StopCrypt отличается своими масштабами операций и на сегодняшний день является одним из самых широко распространенных шифровальщиков. Однако, несмотря на это, LockBit, BlackCat и Clop чаще упоминаются в контексте шифровальщиков, чем StopCrypt.Это объясняется тем, что операторы StopCrypt предпочитают атаковать отдельных пользователей, а не крупные организации. Их стратегия заключается в сборе небольших выкупных сумм (от 400 до 1000 долларов), вместо того чтобы преследовать большие суммы. Обычно вредоносная программа StopCrypt распространяется через вредоносную рекламу и совместно с адваре.
Группа специалистов по кибербезопасности из SonicWall выявила новую версию вредоносного ПО STOP, которая использует сложные методы выполнения в несколько этапов. Этот вирус загружает отдельный DLL-файл (msim32.dll), вероятно, для маскировки своей активности, и использует длительные задержки времени, чтобы обойти временные защитные меры. После этапа загрузки вирус применяет метод "Process Hollowing", который позволяет StopCrypt захватывать легальные процессы и внедрять свою вредоносную нагрузку для скрытого выполнения в памяти. Это достигается через последовательность точно настроенных вызовов API, управляющих памятью процесса и потоком выполнения.
После завершения вредоносной нагрузки вирус выполняет ряд действий для обеспечения постоянной активности вымогательского ПО. Это включает изменение списков контроля доступа (ACL) для предотвращения удаления важных файлов и директорий, а также создание запланированной задачи для запуска вредоносной нагрузки каждые пять минут. В результате файлы на компьютере зашифровываются, а к их именам добавляется расширение ".msjd". Кроме того, в каждой затронутой папке появляется текстовый файл с инструкциями о том, как оплатить выкуп за расшифровку данных.
