В новом подходе к требованиям выкупа новая программа-вымогатель, называющая себя «NitroRansomware», шифрует файлы жертвы, а затем требует подарочный код Discord Nitro для расшифровки файлов. Хотя Discord и является бесплатным, они предлагают подписки Nitro за 9,99 долларов в месяц, которая предоставляет дополнительные льготы, такие как большие объемы загрузки, потоковая передача HD-видео, улучшенные смайлы и возможность улучшить ваш любимый сервер, чтобы его пользователи могли пользоваться дополнительными функциями. Приобретая подписку Nitro, пользователи могут применить ее к своей учетной записи или купить в качестве подарка для другого человека. При подарке покупателю будет предоставлен URL-адрес в формате https://discord.gift/[code], который затем может быть передан другому пользователю Discord.

В то время как большинство операций с программами-вымогателями требуют тысячи, если не миллионы долларов в криптовалюте, Nitro Ransomware отклоняется от нормы, требуя вместо этого подарочный код Nitro за 9,99 долларов.

Судя по именам файлов для образцов NitroRansomware, предоставленных MalwareHunterteam, эта новая программа-вымогатель распространяется как поддельный инструмент, заявляющий, что она может генерировать бесплатные подарочные коды Nitro. При запуске программа-вымогатель зашифрует файлы и добавит расширение.givemenitro к зашифрованным файлам, как показано ниже.

По завершении NitroRansomware изменит обои пользователя на сердитый логотип Discord, как показано ниже.

Затем отобразится экран программы-вымогателя с запросом бесплатного подарочного кода Nitro в течение трех часов, или программа-вымогатель удалит зашифрованные файлы жертвы. Этот таймер, по-видимому, представляет собой простую угрозу, поскольку образцы программ-вымогателей, обнаруженные на данный момент, не удаляют файлы, когда таймер достигает нуля.

Когда пользователь вводит URL-адрес подарочного кода Nitro, программа-вымогатель проверяет его, используя URL-адрес Discord API, как показано ниже. Если введена действительная ссылка на подарочный код, программа-вымогатель расшифрует файлы с помощью встроенного статического ключа дешифрования.

Поскольку ключи дешифрования статичны и содержатся в исполняемом файле программы-вымогателя, можно расшифровать файлы, фактически не платя выкуп за подарочный код Nitro. Поэтому, если вы станете жертвой этого вымогателя, вы можете поделиться ссылкой на исполняемый файл для извлечения ключа дешифрования.

К сожалению, помимо шифрования файлов, Nitro Ransomware также выполняет другие вредоносные действия на компьютере жертвы. Это не было бы вредоносным ПО, связанным с Discord, если бы злоумышленники не пытались украсть токены Discord жертвы.

Токены Discord - это ключи аутентификации, привязанные к конкретному пользователю, которые в случае кражи позволяют злоумышленнику войти в систему как определенный пользователь.

Когда NitroRansomware запускается, оно будет искать путь установки Discord жертвы, а затем извлекать токены пользователей из файлов * .ldb, расположенных в папке «Local Storage \ leveldb». Затем эти токены отправляются злоумышленнику через веб-перехватчик Discord.

NitroRansomware также включает в себя элементарные возможности бэкдора, которые позволяют злоумышленнику удаленно выполнять команды, а затем отправлять выходные данные через свой веб-перехватчик на канал Discord злоумышленника. Хорошей новостью является то, что эта программа-вымогатель плохо скрывает свой ключ дешифрования, и пользователи могут бесплатно восстанавливать свои файлы.

Однако плохая новость заключается в том, что злоумышленник, скорее всего, уже украл токены Discord у пользователя и потенциально развернулся на зараженном устройстве.

В связи с этим пользователи, зараженные этим вымогателем, должны немедленно изменить свой пароль Discord и выполнить антивирусное сканирование, чтобы обнаружить другие вредоносные программы, добавленные на компьютер. Также рекомендуется, чтобы пользователи проверяли наличие новых учетных записей пользователей в Windows, которые они не создавали, и удаляли их, если они были найдены.