NoCry Ransomware
NoCry is een nieuwe ransomwarebedreiging die in het wild is gedetecteerd. Infosec-onderzoekers stelden vast dat deze nieuwe malware een variant is van de eerder waargenomen Stupid Ransomware en de Judge Ransomware. Als zodanig is zijn gedrag bijna identiek aan de andere twee bedreigingen. De NoCry Ransomware creëert ook een mutex om ervoor te zorgen dat er slechts één exemplaar van de dreiging tegelijk wordt uitgevoerd. Dezelfde anti-VM- en sandbox-technieken worden hier ook gebruikt. En de dreiging heeft de mogelijkheden om de systeemherstelpunten te verwijderen.
Alle kenmerken die de NoCry Ransomware onderscheiden, kunnen worden omschreven als meestal overbodig. Het gebruikt '.Cry' als een extensie die de versleutelde bestanden markeert, terwijl het losgeldbriefje bedoeld is om het bericht van WannaCry Ransomware visueel na te bootsen. De hackers die verantwoordelijk zijn voor het vrijgeven van de NoCry Ransomware, willen losgeld ontvangen dat is betaald met behulp van de Bitcoin-cryptocurrency. Om nog meer paniek te zaaien en hun slachtoffers urgentie te geven, geeft de malware een afteltimer weer die begint op 72 uur. Net als bij de Judge Ransomware, wanneer de timer afloopt, zou dit leiden tot een verhoging van het door de hackers geëiste bedrag. De NoCry Ransomware, aan de andere kant, bedreigt zijn slachtoffers met een veel ernstiger gevolg: de ransomware-dreiging zal zichzelf verwijderen. Op het eerste gezicht lijkt dat misschien een goede zaak. Het probleem is dat het venster dat door de malware wordt gegenereerd, het veld voor de decoderingssleutel en de knop 'Decoderen' bevat. Dit is de bedoelde manier voor gebruikers om hun bestanden terug te krijgen. Zonder dat de NoCry Ransomware op het systeem aanwezig is, zal dat niet langer mogelijk zijn.
Gratis decryptor beschikbaar
Gelukkig hoeven slachtoffers van de NoCry Ransomware helemaal niet op de cybercriminelen te vertrouwen om hun bestanden terug te krijgen. Infosec-onderzoekers zijn erin geslaagd een decryptor te maken voor de bestanden die zijn vergrendeld door de Judge Ransomware. De decryptor is beschikbaar gemaakt als onderdeel van het NoMoreRansom-initiatief. Vanwege de grote overeenkomsten tussen de twee bedreigingen, werkt dezelfde decryptor ook voor bestanden die zijn getroffen door de NoCry Ransomware. Houd er echter rekening mee dat de malwarebedreiging volledig van de computer moet worden verwijderd voordat er ontsleutelingspogingen worden ondernomen.
