Издание Bleeping Computer рассказало о вымогателе NitroRansomware, который шифрует файлы жертв, похищает информацию из браузеров, а затем требует подарочные коды Discord Nitro для оплаты выкупа.

Хотя сам Discord бесплатен, пользователи могут приобрести подписку Nitro за 9,99 долларов в месяц, которая предоставляет доступ к премиальным возможностям, включая увеличенный размер загрузок, улучшенные эмодзи, анимированные аватары и так далее. Причем подписку Nitro можно применить как к своей учетной записи, так и купить в качестве подарка для другого человека. Во втором случае покупателю будет предоставлен URL-адрес в формате https://discord.gift/[code], который затем можно передать другому пользователю Discord.

В отличие от других вымогателей, шифровальщик NitroRansomware требует от своих жертв не огромные суммы в криптовалюте, но подарочный код для Nitro за 9,99 долларов.

Судя по именам файлов из образцов NitroRansomware, предоставленных журналистам MalwareHunterteam, вымогатель распространяется под видом фейкового инструмента для генерации бесплатных подарочных кодов Nitro. После запуска малварь шифрует файлы жертвы и добавляет к ним расширение .givemenitro.

Затем вымогатель сменит обои пользователя и покажет экран с требованием выкупа, требуя предоставить бесплатный подарочный код Nitro в течение трех часов, в противном случае малварь угрожает удалить все зашифрованные файлы. Это, по словам журналистов, является пустой угрозой, и NitroRansomware не удаляет файлы, когда таймер достигает нуля.

Когда пользователь предоставляет малвари URL-адрес подарочного кода Nitro, вымогатель проверяет его, используя Discord API, как показано ниже. Если ссылка на подарочный код действительна, вымогатель расшифрует файлы с помощью встроенного статического ключа дешифрования.

Издание подчеркивает, что поскольку ключи дешифрования статичны и содержатся в исполняемом файле малвари, файлы можно расшифровать и без выплаты выкупа.

К сожалению, одним только шифрованием данных вымогатель не ограничивается. Также злоумышленники пытаются похитить токены Discord жертвы (ключи аутентификации, привязанные к конкретному пользователю) и украсть данные из браузеров Chrome, Brave и Яндекс.Браузер. Из-за этого жертвам NitroRansomware рекомендуется сразу после атаки сменить свой пароль в Discord.

 

Оставить мнение