NoCry勒索软件分析:Judge勒索软件的一种变体

六六传世原创文章投稿奖励计划

国外安全团队Tesorion的研究人员发布了Judge勒索软件解密器,该解密器还解密了由NoCry勒索软件加密的文件。


今年1月,Tesorion发表了一篇博客文章,介绍了Tesorion对Judge勒索软件的分析 。在此博客文章中宣布了针对法官受害者的免费解密器,可通过NoMoreRansom 计划获得该解密器 。自发布以来,Tesorion的解密器一直在帮助受害者免费恢复其文件。

几个月后,  BleepingComputer编写了有关Stupid勒索软件的新变种,称为NoCry。该变体由GrujaRS发现 。当首次分析Judge勒索软件时,在二进制文件中找到了别名:NoCry。因此,Tesorion继续分析NoCry,并确定它也是Judge的变体。

幸运的是,Judge解密程序还可以解密由NoCry / Stupid勒索软件加密的文件。在此文章中,讨论了Judge和NoCry之间的一些区别。此外,还确认了解密器还可以解密受NoCry影响的文件。

概述

Tesorion分析的NoCry勒索软件与之前看过的Judge非常相似。它创建一个互斥体以防止多个实例并行运行,提供沙箱检测并删除系统还原点。这些任务完成后,勒索软件开始加密受害者的文件。文件加密过程相同,因此,解密器也可以用于NoCry。

区别

仔细观察,NoCry和先前分析的Judge勒索软件之间有一些有趣的区别。例如,这次的互斥锁为:“ rGoB8VnbP6W42hW5”。此外,文件加密完成后向用户显示的屏幕是不同的。

上面显示的屏幕与WannaCry勒索软件显示的屏幕非常相似 。屏幕的结构和颜色是相似的,WannaCry呈现的倒计时也是72小时。

NoCry中的倒计时与Judge介绍的倒计时有些不同。下面显示了先前分析过的法官勒索软件的勒索注释屏幕。如图中所见,倒计时上方的文字是:“价格上涨之前还剩下时间”。在NoCry勒索软件中,文本更改为:“您的文件将丢失”,使威胁更加严重。

当72小时过去后,勒索软件会从受感染的系统中删除自身。赎金记录屏幕上的“解密”按钮是受害者通过预定路径还原其文件的唯一方法。因此,一旦经过72个小时,受害者将无法再执行解密。但是,使用Tesorion团队的解密器,解密仍然是可能的。

免费的解密器

文件加密过程没有改变,因此解密器仅需要进行一些细微的调整。因此,当前的解密器还会解密(受破坏的)受此NoCry / Stupid变体影响的文件。解密器仍然免费,将 很快通过 NoMoreRansom计划提供。

(IoC)可在以下原始帖子中找到:
http://www.tesorion.nl/zh-CN/posts/analysis-of-nocry-a-variant-of-the-judge-ransomware/

外媒报道地址:http://securityaffairs.co/wordpress/118054/malware/nocry-ransomware-analysis.html

www.idc126.com

本原创,作者:张,其版权均为六六传世网所有。如需转载,请注明出处:http://66woool.com/77169kx/279963.html