Peneliti Keamanan di Tesorion Mengungkap Perbedaan Antara NoCry dan Judge Ransomware

  • Whatsapp
Peneliti Keamanan di Tesorion Mengungkap Perbedaan Antara NoCry dan Judge Ransomware

 

Bacaan Lainnya

Awal tahun ini, para peneliti di Tesorion menerbitkan posting blog tentang analisis ransomware Judge. Peneliti merilis decryptor gratis untuk korban Judge yang dapat diakses melalui inisiatif ‘NoMoreRansom’. Dekripsi ini dirancang khusus untuk membantu korban dalam mengambil file mereka secara gratis sejak dirilis.

Beberapa bulan kemudian, BleepingComputer menerbitkan artikel tentang varian baru ransomware, yang disebut NoCry. Varian ini ditemukan oleh peneliti keamanan siber independen bernama GrujaRS. Setelah menganalisis ransomware Judge, para peneliti di Tesorion menemukan alias: NoCry dalam biner.

NoCry Ransomware adalah keluarga infeksi ransomware yang biasanya digunakan oleh pengembang yang kurang terampil dan banyak yang menggunakan tema berdasarkan film, budaya pop, atau berpura-pura menjadi penegak hukum. Keluarga infeksi ransomware ini dibuat menggunakan proyek sumber terbuka yang telah diposting ke GitHub.

Untungnya, decryptor untuk Judge juga mendekripsi file yang dienkripsi oleh ransomware NoCry / Stupid. Ransomware NoCry yang dianalisis oleh peneliti keamanan identik dengan Judge ransomware, yang dianalisis oleh peneliti sebelumnya. NoCry ransomware mengembangkan mutex untuk mencegah beberapa instance berjalan secara paralel, menyediakan deteksi kotak pasir, dan menghapus titik pemulihan sistem. Ketika tugas tersebut selesai, ransomware mulai mengenkripsi file korban. Proses enkripsi file sama, dan oleh karena itu, decryptor kami juga dapat digunakan untuk NoCry.

Beberapa perbedaan kecil

Setelah menganalisis dengan cermat, para peneliti di Tesorion menemukan beberapa perbedaan menarik antara NoCry dan ransomware Judge. Misalnya, mutex dari ransomware NoCry sedikit berbeda: “rGoB8VnbP6W42hW5”. Selanjutnya, layar yang ditampilkan kepada pengguna setelah enkripsi file benar-benar berbeda.

Perbedaan lainnya adalah hitung mundur, hitung mundur NoCry sedikit berbeda dari yang disajikan oleh Judge ransomware. Satu-satunya cara bagi korban untuk mendapatkan kembali file-nya adalah melalui rute yang dimaksud. Oleh karena itu, setelah timeline selesai, korban tidak dapat lagi melakukan dekripsi. Satu-satunya cara untuk mendekripsi file adalah dengan menggunakan decryptor yang dirilis oleh peneliti Tesorion.

Proses enkripsi file tidak berubah, jadi decryptor hanya memerlukan beberapa penyesuaian kecil. Oleh karena itu, decryptor kami saat ini juga mendekripsi file (tidak rusak) yang terpengaruh oleh varian NoCry / Stupid ini. Decryptor tetap gratis dan akan segera tersedia melalui inisiatif NoMoreRansom.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *