2023年最常见勒索病毒家庭StopCrypt的新变种

关键要点

• StopCrypt 是 2023 年最常见的勒索病毒，已引入更先进的逃避策略。
• 与 LockBit 勒索病毒相比，StopCrypt 在检测量上超过了它，主要目标是小型受害者。
• 新变种利用多阶段的壳代码部署过程来避开防病毒保护。
• 勒索金额为980美元，若在72小时内联系，将提供490美元的折扣。

根据【Trend Micro2023年网络安全报告】的，StopCrypt（亦称为STOP/DJVU）在2023年的检测量上超过了LockBit勒索病毒。STOP病毒通常以小型目标为主，2023年上半年平均赎金为619美元，参考【Chainalysis的中期报告】。

新变种的逃避策略

根据【SonicWall近期报告】的说法，新变种的StopCrypt利用多种逃避技术，其多阶段的壳代码部署过程包括长延迟循环、动态API解析和进程空心化（即将合法可执行文件中的代码替换为恶意代码）。

StopCrypt变种在 stealth （隐形）任务开始时，通过在延迟循环中将相同的数据复制到超过6500万次，可能意在躲避时间敏感的防病毒机制，例如沙箱。

接着，它使用多阶段的动态API解析，实时调用API而非直接将其链接到代码中。这种方法可以防止因静态链接的直接API调用而导致的防病毒检测。

下一阶段，它先使用CreateToolHelp32Snapshot对当前进程进行快照、运用Module32First提取信息，并调用VirtualAlloc，分配具有读、写和执行权限的内存，接着它动态调用额外API进行进程空心化。

在这一过程中，Ntdll_NtWriteVirtualMemory被用于将恶意代码写入通过kernel32_CreateProcessA创建的挂起进程。

当挂起的进程被恢复时，最终的勒索负载会启动icacls.exe，修改访问控制列表，以防止对StopCrypt创建的新目录和文件进行修改或删除。勒索病毒会加密用户的文件，并添加扩展名“.msjd”。

根据SonicWall研究的变种中发现的勒索信包含980美元的赎金要求，如果受害者在72小时内联系威胁者，赎金可降至490美元。

SonicWall描述的STOP变种与【PCrisk研究人员去年发现的变种】有相似之处，最初也是通过VirusTotal提交的，两个版本都有“.msjd”文件扩展名，并且在勒索信中包含威胁者的联系信息。

通过更复杂的逃避策略，StopCrypt变种展示了网络安全威胁的日益复杂性，用户应提高警惕。