除了加密受害者的文件,STOP勒索软件系列还开始在受害者的计算机上安装Azorult密码窃取木马来窃取帐户凭据、加密货币钱包、桌面文件等其它信息。
Azorult Trojan感染计算机后会尝试窃取存储在浏览器中的用户名和密码、受害者桌面上的文件、加密货币钱包、Steam凭据、浏览器历史记录、Skype消息历史记录等,然后将此信息上传到受攻击者控制的远程服务器。
当研究人员在1月首次 道由虚假软件破解分发的STOP勒索软件的DJVU版本时,研究人员发现恶意软件执行会下载用于在受害者计算机上执行不同任务的各种组件。这些任务包括显示假的Windows Update页面、禁用Windows Defender以及通过向Windows HOSTS文件添加条目来阻止受害者访问安全站点。
勒索软件研究员测试了最近的一些变种,发现Any.Run安装表明勒索软件下载的其中一个文件创建了来自Azorul感染的流量。研究人员进一步表示,四个不同的样本都显示出与Azorult相关的 络流量。
为了检验STOP勒索软件是否安装了Azorult,研究人员下载并安装了一个STOP Promorad 勒索软件变体样本。
执行勒索软件时,它会下载下面IOC中列出的文件并加密计算机。在该变体中,当文件被加密时,它会将.promorad扩展名附加到加密文件并创建名为_readme.txt的勒索信,如下所示。
研究人员测试的Promorad勒索软件变体样本也下载并执行了一个名为5.exe的文件。执行时,程序将创建与Azorult信息窃取特洛伊木马的已知命令和控制服务器通信相同的 络流量。
此外,当使用VirusTotal扫描此文件时,许多安全供应商会将此文件检测为密码窃取特洛伊木马。
成为勒索软件的受害者已经够糟糕了,要是知道密码和文件也可能被盗,那就更惨了。
感染STOP勒索软件变种的受害者应立即更改密码,尤其是保存在浏览器中的帐户密码。受害者还应更改Skype、Steam、Telegram和FTP客户端等软件中的密码。最后,受害者应检查存储在Windows桌面上的文件,以获取现在可能掌握在攻击者手中的私人信息。
STOP勒索软件已经有许多变种,目前还不知道他们安装Azorult的时间有多长。因此,为了安全起见,STOP的所有受害者都应该执行上述补救措施。
已知的STOP扩展列表包括:
.blower
.djvu
.infowait
.promok
.promorad2
.promos
.promoz
.puma
.rumba
.tro
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!