NitroRansomware demande des paiements en code cadeau Discord Nitro

0

Dans une nouvelle approche des demandes de rançon, un nouveau ransomware se faisant appeler « NitroRansomware » chiffre les fichiers de la victime, puis exige un code cadeau Discord Nitro pour déchiffrer les fichiers.

Alors que Discord est gratuit, ils offrent un abonnement Nitro pour 9,99 $ par mois qui fournit des avantages supplémentaires, tels que des capacités de téléchargements plus importantes, du streaming vidéo HD, des emojis améliorés, et la possibilité de stimuler votre serveur préféré, de sorte que ses utilisateurs bénéficient de fonctionnalités supplémentaires.

Lors de l’achat d’un abonnement Nitro, les utilisateurs peuvent l’appliquer à leur propre compte ou l’acheter en cadeau pour une autre personne. Lors du don, l’acheteur recevra une URL dans le format https://discord.gift/[code], qui peut ensuite être donnée à un autre utilisateur de Discord.

nitroransomware discord nitro

Pas votre demande de rançon typique

Alors que la plupart des opérations de ransomware exigent des milliers, sinon des millions, de dollars en crypto-monnaie, NitroRansomware s’écarte de la norme en exigeant un code cadeau Nitro de 9,99 $ à la place.

En se basant sur les noms de fichiers pour les échantillons NitroRansomware partagés par MalwareHunterteam, ce nouveau ransomware semble être distribué comme un faux outil indiquant qu’il peut générer gratuitement des codes cadeaux Nitro.

Lorsqu’il est exécuté, le ransomware va chiffrer les fichiers d’une personne et annexer l’extension .givemenitro aux fichiers cryptés, comme indiqué ci-dessous.

fichiers chiffrés

Une fois terminé, NitroRansomware va changer le papier peint de l’utilisateur avec un logo discord qui semble être en colère, comme indiqué ci-dessous.

discord malveillant

Un écran de ransomware sera alors affiché exigeant un code cadeau gratuit de Nitro dans les trois heures, ou le ransomware supprimera les fichiers chiffrés de la victime. Cette mise à jour semble être une menace inactive car les échantillons de ransomware observés pour l’instant ne suppriment pas de fichiers lorsque la mise à jour atteint zéro.

nitroransomware

Lorsqu’un utilisateur entre une URL de code cadeau Nitro, le ransomware le vérifie à l’aide d’une URL d’API Discord, comme indiqué ci-dessous. Si un lien de code cadeau valide est entré, le ransomware déchiffrera les fichiers à l’aide d’une clé de décryptage statique intégrée.

nitroransomware discord

Comme les clés de déchiffrement sont statiques et sont contenues dans le ransomware exécutable, il est possible de déchiffrer les fichiers sans réellement payer la rançon en code cadeau Nitro.

Par conséquent, si vous êtes victime de ce ransomware, vous pouvez partager un lien pour que l’exécutable puisse extraire une clé de décryptage.

Malheureusement, en plus de chiffrer vos fichiers, NitroRansomware effectuera également d’autres activités malveillantes sur l’ordinateur d’une victime.

Voler des jetons et exécuter des commandes

Ce ne serait pas un malware lié à Discord si les pirates informatique n’essayaient pas de voler les jetons Discord d’une victime.

Les jetons de Discord sont des clés d’authentification liées à un utilisateur particulier, qui, lorsqu’elles sont volées, permettent à un pirate informatique de se connecter en tant qu’utilisateur associé.

Lorsque NitroRansomware démarre, il recherche le chemin d’installation Discord d’une victime, puis extrait les jetons d’utilisateur des fichiers *.ldb situés sous « Local Storage\leveldb ». Ces jetons sont ensuite renvoyés au pirate informatique sur un webhook de Discord.

discord nitro

Dans le cadre de ce processus, le malware tentera également de voler des données de Google Chrome, Brave Browser et Yandex Browser.

NitroRansomware inclut également des fonctionnalités pour exécuter des commandes et faire envoyer la sortie via le webhook sur le Discord de l’attaquant. Ceci est actuellement seulement utilisé pour obtenir l’UUID de l’ordinateur en utilisant la commande « wmic csproduct get uuid ».

commande nitroransomware

La bonne nouvelle est que ce ransomware ne fait pas un bon travail pour cacher sa clé de déchiffrement, et les utilisateurs peuvent récupérer leurs fichiers gratuitement.

Cependant, la mauvaise nouvelle est que le pirate informatique aura probablement déjà volé le jeton Discord d’un utilisateur.

Pour cette raison, les utilisateurs infectés par ce ransomware devront immédiatement changer leur mot de passe Discord au cas où leur compte a été compromis.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire