Judge 랜섬웨어의 변종인 NoCry 랜섬웨어 발견

 

 

Analysis of NoCry ransomware: A variant of the Judge ransomware

 

Tesorion의 연구원들이 Judge 랜섬웨어용 복호화 툴을 공개했습니다. 이 복호화 툴은 NoCry 랜섬웨어로 암호화된 파일 또한 복구가 가능한 것으로 나타났습니다.

 

지난 1월 초, 연구원들은 Judge 랜섬웨어에 대한 분석을 발표했습니다. 또한 NoMoreRansom 이니셔티브를 통해 사용이 가능한 Judge 랜섬웨어용 무료 복호화 툴 또한 공개했습니다.

 

몇 달 후, Bleeping Computer에서는 Stupid 랜섬웨어의 새로운 변종인 NoCry에 대한 기사를 게시했습니다. 이 변종은 GrujaRS에서 발견했습니다.

 

처음 Judge 랜섬웨어를 분석했을 때, 바이너리 내에서 NoCry라는 별칭 또한 발견할 수 있었습니다. 따라서 NoCry를 분석 후 이것이 Judge의 변종이라는 결론을 내렸습니다.

 

NoCry 랜섬웨어는 Judge 랜섬웨어와 매우 유사합니다. 여러 인스턴스가 병렬로 실행되는 것을 방지하기 위해 뮤텍스를 생성하고, 샌드박스 탐지 기능 및 시스템 복원 지점을 삭제하는 기능을 포함하고 있습니다.

 

해당 작업이 완료되면 랜섬웨어는 피해자의 파일을 암호화하기 시작합니다. 파일 암호화 과정은 동일하기 때문에 NoCry에서도 동일한 복호화 툴을 이용할 수 있습니다.

 

NoCry와 Judge 랜섬웨어 사이에는 몇 가지 흥미로운 차이점이 있습니다. 예를 들면, 이번 뮤텍스는 “rGoB8VnbP6W42hW5”입니다. 또한 파일 암호화 작업이 완료된 후 사용자에게 표시되는 화면이 다릅니다.

 

 

<이미지 출처 : https://securityaffairs.co/wordpress/118054/malware/nocry-ransomware-analysis.html>

 

 

위 화면은 WannaCry 랜섬웨어가 표시하는 화면과 매우 유사합니다. 화면의 구조와 색상이 비슷하며, 카운트 다운 시간도 72시간으로 WannaCry와 동일합니다.

 

Judge 랜섬웨어의 랜섬노트 화면은 아래와 같습니다. 카운트다운 윗부분에 표시된 텍스트는 “가격이 인상되기까지 남은 시간”으로 표시되어 있습니다. 하지만 NoCry 랜섬웨어에서는 “파일이 손실되기까지 남은 시간”으로 표시되어 위협을 더욱 심각하게 표현했습니다.

 

 

<이미지 출처 : https://securityaffairs.co/wordpress/118054/malware/nocry-ransomware-analysis.html>

 

  

72시간이 지나면, 랜섬웨어는 감염된 시스템에서 자기 자신을 스스로 삭제합니다. 피해자는 랜섬노트 내 “Decrypt” 버튼을 통해 파일을 복호화하도록 의도되었으나, 무료 해독기를 사용하더라도 파일을 복구할 수 있습니다.

 

파일의 암호화 프로세스는 변경되지 않았기 때문에 약간만 변경하면 해독기를 사용할 수 있습니다. 해독기는 무료로 제공되며, NoMoreRansom 이니셔티브를 통해 곧 사용이 가능합니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 ’Trojan.Ransom.Filecoder’로 탐지 중입니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/118054/malware/nocry-ransomware-analysis.html

https://www.tesorion.nl/en/posts/analysis-of-nocry-a-variant-of-the-judge-ransomware/