StopCrypt 勒索软件（又名 STOP）的新变种在野外被发现，它采用涉及 shellcode 的多阶段执行过程来逃避安全工具。

StopCrypt，也称为 STOP Djvu，是现有的分布最广泛的勒索软件之一。

因为这种勒索软件操作通常不针对企业，而是针对消费者，经常产生数万笔 400 至 1000 美元的小额赎金，以至于 很少听到安全研究人员讨论 STOP。

STOP 勒索软件通常通过恶意广告和可疑网站传播，这些网站会分发伪装成免费软件、游戏作弊和软件破解的广告软件捆绑包。

然而，当安装这些程序时，用户就会感染各种恶意软件，包括密码窃取木马和 STOP 勒索软件。

自 2018 年首次发布以来，勒索软件加密器没有太大变化，发布的新版本主要是为了修复关键问题。因此，当新的STOP版本发布时，由于受到影响的人数较多，值得关注。

新的多阶段执行

威胁研究团队在野外发现的 STOP 勒索软件新变种，现在利用多阶段执行机制。

最初，恶意软件加载一个看似不相关的 DLL 文件 (msim32.dll)，可能是为了转移注意力。它还实现了一系列长时间延迟循环，可能有助于绕过与时间相关的安全措施。

接下来，它使用堆栈上动态构造的 API 调用来为读/写和执行权限分配必要的内存空间，从而使检测变得更加困难。

StopCrypt 使用 API 调用进行各种操作，包括拍摄正在运行的进程的快照以了解其运行环境。

下一阶段涉及进程空洞，其中 StopCrypt 劫持合法进程并注入其有效负载以在内存中谨慎执行。这是通过一系列精心编排的 API 调用来操作进程内存和控制流来完成的。

一旦执行了最终的有效负载，就会发生一系列操作来确保勒索软件的持久性，修改访问控制列表（ACL）以拒绝用户删除重要恶意软件文件和目录的权限，并创建一个计划任务来每隔一段时间执行一次有效负载5分钟。

StopCrypt的计划任务

文件已加密，并且新名称后会附加“.msjd”扩展名。然而，有数百个与 STOP 勒索软件相关的扩展。

最后，在每个受影响的文件夹中都会创建名为“_readme.txt”的勒索字条，向受害者指示支付赎金以检索数据。