Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[18.189.189.239] |
|
Сообщ.
#1
,
|
|
|
Самый распространенный, но редко вспоминаемый троян-шифровальщик научился отвлекать внимание защитного ПО
Вышла новая версия шифровальщика-вымогателя StopCrypt, который является самым широко распространённым вредоносом подобного рода. Про него говорят и пишут довольно редко, потому что он атакует не бизнес, а рядовых пользователей Курочка по зёрнышку Компания SonicWall опубликовала исследование шифровальщика StopCrypt. StopCrypt (он же STOP Djvu) является де-факто самым распространённым шифровальщиков из всех существующих - и при этом о нём говорят довольно редко. Причина проста: в отличие от LockBit, BlackCat и других известных вредоносов подобного рода StopCrypt атакует не организации, а индивидуальных пользователей. За ключ дешифровки злоумышленники вымогают от $400 до $1000, что не идёт ни в какое сравнение с масштабными суммами, вымогаемыми у бизнеса. Шифровальщик Stop распространяется через вредоносную рекламу и сомнительные сайты - в основном под видом бесплатного ПО, игровых читов и средств взлома коммерческих программных пакетов. Фото: Thomas Vanhaecht с сайта Pixabay Вышла новая версия шифровальщика-вымогателя StopCrypt, самого широко распространенного вредоноса подобного рода Вместо ожидаемых программ недобросовестные пользователи получают целый зоопарк различных вредоносов, которые крадут их пароли и шифруют данные. В материале Bleeping Computer заявили, что в ветке форума технической помощи, посвящённой данному шифровальщику, уже 807 страниц. По частям и с большими паузами Шифровальщик объявился в 2018 г., и с тех пор мало менялся. Его разработчики лишь устраняли различные критические проблемы кода, например, те, которые позволяли расшифровывать данные без выплаты выкупа. Новая версия шифровальщика использует многоэтапный механизм запуска. В начале загружается совершенно посторонняя DLL-библиотека (msim32.dll), вероятно, с целью отвлечь внимание защитных программ. Кроме того, другие этапы запуска разделены длительными временными промежутками, очевидно, чтобы сбить с толку защитные средства. Вредонос использует динамически формируемые API-вызовы в стеке, чтобы зарезервировать необходимое себе пространство в памяти для чтения и записи, а также изменения разрешений, - опять-таки с целью затруднить выявление. Через API-вызов также осуществляется сбор данных об активных процессах, их перехват и загрузка в них вредоносного содержимого в память для дискретного запуска. Эксперты отмечают, что все эти операции выполняются через серию «тщательно выверенных» API-вызовов, которые манипулируют памятью процессов и потоком выполнения. После загрузки финального содержимого, вредонос предпринимает ряд мер для обеспечения постоянства присутствия. Помимо прочего программа модицирует список контроля доступа так, чтобы пользователи не смогли удалить ключевые файлы вредоноса и его каталоги. Кроме того, создаётся системное задание Windows по запуску вредоносного компонента каждые пять минут. Шифровальщик использует сотни разных расширений для зашифрованных файлов - его операторы меняют их регулярно. Тоже, по-видимому, с целью повышения скрытности. «Только для очень толстых кошельков сумма в 400-1000 долларов, которую требуют вымогатели, не будет болезненной, - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - Многие популярные коммерческие программы стоят намного меньше. Единственный гарантированный способ не столкнуться со StopCrypt - это не пытаться скачивать сомнительный софт из непроверенных источников, особенно это касается средств взлома защиты ПО. Попытки сэкономить с высокой вероятностью приведут к противоположным результатам, только вот заплатить придётся преступникам». Эксперты SonicWall отмечают, что StopCrypt эволюционирует в сторону всё большей незаметности и эффективности, и это иллюстрирует весьма тревожащую тенденцию в киберкриминале. Ранее авторы вредоносов фокусировались на крупном бизнесе, однако тот учится защищаться от шифровальщиков и всё реже готов платить выкуп. Получить деньги с рядовых пользователей злоумышленникам порой намного проще. Адрес новости: https://safe.cnews.ru/news/top/2024-03-20_samyj_rasprostranennyjno |