Шифровальщик, нацеленный на простых пользователей, стал ещё опаснее

ИБ-специалисты рассказали о появлении новой версии шифровальщика StopCrypt, более известного как STOP. Он получил многоступенчатую технику выполнения и теперь не обнаруживается защитными программами, повышая шансы на успешное вымогательство.

STOP является распространённым вредоносным ПО с огромным количеством жертв по всему миру. Однако, оно реже привлекает внимание специалистов, так как нацелено не на крупные компании, а на простых пользователей по всему миру. Шифровальщик атакует слабозащищённые устройства, требуя выкуп в размере от 400 до 1 000 долларов.

Вредоносное ПО применяется в реальных атаках с 2018 года и редко получает новые функции. Но последнее обновление не могло остаться незамеченным – шифровальщик теперь использует многоступенчатую технику выполнения.

Сначала на устройство попадает несвязанный DLL-файла и реализуется серия длительных циклов задержки времени, чтобы обойти меры безопасности. Потом вредонос перехватывает легитимные процессу и вводит свою полезную нагрузку. На финальном этапе шифровальщик закрепляется в системе, запрещая пользователю удалять связанные с ним файлы, и устанавливает таймер выполнения полезной нагрузки.

После успешного заражения ВПО шифрует файлы, добавляя к ним расширение «.msjd» и оставляет в каждой папке записку с требованием выкупа. Таким образом, операторы вымогателя зарабатывают на многочисленных атаках на простых пользователей.