Skip to main content

Analyse van NoCry: Een variant van de Judge-ransomware

Door 17 mei 2021 mei 18th, 2021 Blog

In januari, aan het begin van dit jaar,  publiceerden we een blog over onze analyse van de Judge-ransomware. We hebben in deze blog een gratis decryptor voor Judge-slachtoffers aangekondigd, die beschikbaar is via het NoMoreRansom-initiatief. Onze decryptor helpt slachtoffers om hun bestanden gratis te herstellen sinds de release.

Een paar maanden later schreef BleepingComputer over een nieuwe variant van de Stupid-ransomware, genaamd NoCry. Deze variant is gevonden door GrujaRS. Toen we de Judge-ransomware voor het eerst analyseerden, vonden we ook de alias: NoCry in het binaire bestand. Als zodanig gingen we verder met het analyseren van NoCry en stelden vast dat het ook een variant van Judge is.

Gelukkig decodeert onze decryptor voor Judge ook bestanden die zijn gecodeerd door de NoCry / Stupid ransomware. In deze blog bespreken we enkele verschillen tussen Judge en NoCry. Bovendien bevestigen we dat onze decryptor ook bestanden decodeert die door NoCry zijn beïnvloed.

Overzicht

De NoCry-ransomware die we hebben geanalyseerd, lijkt erg op Judge, de ransomware degene die we eerder hebben bekeken. Het creëert een mutex om te voorkomen dat meerdere ‘instances’ parallel worden uitgevoerd, biedt sandbox-detectie en verwijdert systeemherstelpunten. Wanneer deze taken zijn voltooid, begint de ransomware de bestanden van het slachtoffer te versleutelen. Het bestandscoderingsproces is hetzelfde en daarom kan onze decryptor ook worden gebruikt voor NoCry.

Enkele kleine verschillen

Als we goed kijken, zijn er een aantal interessante verschillen tussen NoCry en de Judge-ransomware die we eerder hebben geanalyseerd. De mutex is deze keer bijvoorbeeld: “rGoB8VnbP6W42hW5”. Bovendien is het scherm dat aan de gebruiker wordt getoond nadat de bestandscodering is voltooid anders.

Het bovenstaande scherm lijkt erg op het scherm dat wordt weergegeven door de WannaCry-ransomware. De structuur en kleuren van het scherm zijn vergelijkbaar, en het aftellen dat WannaCry presenteert is ook 72 uur.

We ontdekten dat het aftellen in NoCry een beetje verschilt van die van Judge. Het scherm met de losgeldeis van de eerder geanalyseerde Judge-ransomware wordt hieronder weergegeven. Zoals we kunnen zien, is de tekst boven het aftellen: “Time left before the price goes up”. In de NoCry-ransomware veranderde de tekst in: “Your files will be lost on”, waardoor de dreiging ernstiger wordt.

Wanneer deze 72 uur verstrijken, verwijdert de ransomware zichzelf van het geïnfecteerde systeem. De “Decrypt” -knop op het scherm met de losgeldeis is de enige manier voor een slachtoffer om zijn bestanden te herstellen via de beoogde route. Daarom kan het slachtoffer na het verstrijken van de 72 uur geen decodering meer uitvoeren. Met behulp van onze decryptor is decodering echter nog steeds mogelijk.

Een gratis decryptor

Het bestandscoderingsproces is niet veranderd, dus de decryptor vereist slechts enkele kleine aanpassingen. Daarom decodeert onze huidige decryptor ook (niet-beschadigde) bestanden die worden beïnvloed door deze NoCry / Stupid-variant. De decryptor blijft gratis en zal binnenkort beschikbaar zijn via het NoMoreRansom-initiatief.

Indicators of Compromise (IoC)

Indicator Value
SHA256 of ransomware f2a842eb78e2be3cd1d638a3dabcf21f8fbc35dcd768bb772f5e6080d1f246cc

 

Command & control hostname niddle-noddle-eyes[.]000webhostapp[.]com