Les codes cadeaux Discord Nitro sont désormais requis en tant que paiements de ransomware

  • Principal
  • Nouvelles
  • Les codes cadeaux Discord Nitro sont désormais requis en tant que paiements de ransomware

Discorde

Dans une nouvelle approche des demandes de rançon, un nouveau rançongiciel se faisant appeler «NitroRansomware» crypte les fichiers de la victime, puis demande un code cadeau Discord Nitro pour décrypter les fichiers.

Bien que Discord soit gratuit, il propose un module complémentaire d'abonnement Nitro pour 9,99 $ par mois qui offre des avantages supplémentaires tels que des téléchargements plus importants, le streaming vidéo HD, des emojis améliorés et la possibilité de booster votre serveur préféré afin que vos utilisateurs puissent profiter des fonctionnalités. supplémentaire aussi.

Lors de l'achat d'un abonnement Nitro, les utilisateurs peuvent l'appliquer à leur compte ou l'acheter en cadeau pour quelqu'un d'autre. Lors du don, l'acheteur recevra une URL au format https://discord.gift/[code], qui pourra ensuite être donnée à un autre utilisateur Discord.

Offrir un abonnement Nitro

Offrir un abonnement Nitro

Pas votre note de rançon typique

Alors que la plupart des opérations de ransomware nécessitent des milliers, voire des millions de dollars en crypto-monnaie, Nitro Ransomware s'écarte de la norme en demandant un code cadeau Nitro de 9,99 $.

Basé sur les noms de fichiers des échantillons NitroRansomware partagés par MalwareHunterteam et analysé par BleepingComputer, ce nouveau rançongiciel semble être distribué comme un faux outil qui prétend pouvoir générer des codes cadeaux Nitro gratuits.

Lorsqu'il est exécuté, le ransomware crypte les fichiers d'une personne et ajoute le fichier. .givemenitro extension aux fichiers cryptés, comme indiqué ci-dessous.

Fichiers cryptés par NitroRansomware

Une fois terminé, NitroRansomware changera le fond d'écran de l'utilisateur en un fichier Mauvais O énervé Logo Discord, comme indiqué ci-dessous.

L'arrière-plan a été remplacé par le logo Angry Discord.

Un écran de ransomware apparaîtra demandant un code cadeau Nitro gratuit dans les trois heures, ou le ransomware supprimera les fichiers cryptés de la victime. Cette minuterie semble être une menace dormante car les échantillons de ransomware vus par BleepingComputer ne suppriment aucun fichier lorsque la minuterie atteint zéro.

Capture d'écran de Nitro Ransomware

Lorsqu'un utilisateur saisit l'URL d'un code cadeau Nitro, le rançongiciel le vérifiera à l'aide d'une URL d'API Discord, comme indiqué ci-dessous. Si un lien de code cadeau valide est entré, le rançongiciel déchiffre les fichiers à l'aide d'une clé de déchiffrement statique intégrée.

Vérifier si un code cadeau Discord Nitro est valide

Étant donné que les clés de déchiffrement sont statiques et contenues dans l'exécutable du ransomware, il est possible de déchiffrer les fichiers sans payer la rançon du code cadeau Nitro.

Par conséquent, si vous êtes victime de ce rançongiciel, vous pouvez partager un lien vers l'exécutable pour extraire une clé de déchiffrement.

Malheureusement, en plus de crypter vos fichiers, Nitro Ransomware effectuera également d'autres activités malveillantes sur l'ordinateur de la victime.

Voler des jetons et exécuter des commandes

Il ne s'agirait pas de logiciels malveillants liés à Discord si les acteurs de la menace n'essayaient pas de voler les jetons Discord d'une victime.

Les jetons Discord sont des clés d'authentification liées à un utilisateur particulier qui, en cas de vol, permettent à un pirate de se connecter en tant qu'utilisateur associé.

Lorsque NitroRansomware est lancé, il recherchera le chemin d'installation de Discord de la victime, puis extraira les jetons utilisateur des fichiers *.ldb situés dans 'Local storage leveldb'. Ces jetons sont ensuite renvoyés à l'auteur de la menace via un webhook Discord.

Voler des jetons utilisateur Discord

NitroRansomware inclut également des fonctionnalités de porte dérobée rudimentaires qui permettent à l'auteur de la menace d'exécuter des commandes à distance, puis d'envoyer la sortie via son webhook au canal Discord de l'attaquant.

Agir comme une porte dérobée pour exécuter des commandes à distance

La bonne nouvelle est que ce rançongiciel ne cache pas sa clé de déchiffrement et que les utilisateurs peuvent récupérer leurs fichiers gratuitement.

La mauvaise nouvelle, cependant, est que l'acteur de la menace a probablement déjà volé le jeton Discord d'un utilisateur et exécute peut-être des commandes supplémentaires sur un appareil infecté.

Pour cette raison, les utilisateurs infectés par ce ransomware doivent immédiatement changer leur mot de passe Discord et exécuter une analyse antivirus pour détecter d'autres programmes malveillants ajoutés à l'ordinateur.

Il est également suggéré aux utilisateurs de rechercher de nouveaux comptes d'utilisateurs dans Windows qu'ils n'ont pas créés et de les supprimer s'ils sont trouvés.

Qu'est-ce que tu penses?