En enero de este año, publicamos una entrada de blog sobre nuestro análisis del ransomware Judge. Anunciamos un descifrador gratuito para las víctimas de los jueces en esta publicación de blog, que está disponible a través de la iniciativa NoMoreRansom . Nuestro descifrador ha estado ayudando a las víctimas a recuperar sus archivos de forma gratuita desde su lanzamiento.
Después de unos meses, BleepingComputer escribió sobre una nueva variante del ransomware Stupid, llamada NoCry. Esta variante fue encontrada por GrujaRS . Cuando analizamos por primera vez el ransomware Judge, también encontramos el alias: NoCry en el binario. Como tal, seguimos adelante para analizar NoCry y determinamos que también es una variante de Judge.
Afortunadamente, nuestro descifrador para Judge también descifra los archivos cifrados por el ransomware NoCry / Stupid. En esta publicación de blog, discutimos algunas diferencias entre Judge y NoCry. Además, confirmamos que nuestro descifrador también descifra los archivos afectados por NoCry.
El ransomware NoCry que analizamos es muy similar a Judge, el que vimos anteriormente. Crea un mutex para evitar que se ejecuten varias instancias en paralelo, proporciona detección de espacio aislado y elimina los puntos de restauración del sistema. Cuando se completan esas tareas, el ransomware comienza a cifrar los archivos de la víctima. El proceso de cifrado de archivos es el mismo y, por lo tanto, nuestro descifrador también se puede utilizar para NoCry.
Mirando de cerca, hay un par de diferencias interesantes entre NoCry y el ransomware Judge que analizamos anteriormente. Por ejemplo, el mutex esta vez es: “rGoB8VnbP6W42hW5”. Además, la pantalla que se muestra al usuario después de completar el cifrado de archivos es diferente.
El proceso de cifrado de archivos no cambió, por lo que el descifrador solo requiere algunos ajustes menores. Por lo tanto, nuestro descifrador actual también descifra los archivos (no dañados) afectados por esta variante NoCry / Stupid. El descifrador sigue siendo gratuito y pronto estará disponible a través de la iniciativa NoMoreRansom.
