在一种新颖的勒索要求解决方案中,一种名为“ NitroRansomware”的新勒索软件对受害者的文件进行加密,然后要求Discord Nitro礼品代码对文件进行解密。
虽然Discord是免费的,但他们提供每月9.99美元的Nitro订阅附加程序,提供额外的好处,例如较大的上载,高清视频流,增强的表情符号以及增强您喜欢的服务器的能力,因此其用户可以享受额外的功能,例如出色地。
购买Nitro订阅时,用户可以将其应用到自己的帐户中,也可以作为礼物购买给其他人。赠送礼物时,将为购买者提供一个格式为https://discord.gift/[code]的URL,然后可以将其提供给其他Discord用户。
不是您通常的赎金要求
尽管大多数勒索软件操作需要数千甚至数百万美元的加密货币,但Nitro Ransomware却要求提供9.99美元的Nitro Gift代码,从而偏离了常规。
根据MalwareHunterteam共享并由BleepingComputer分析的NitroRansomware示例文件名,该新勒索软件似乎是作为伪造工具分发的,表明它可以生成免费的Nitro礼物代码。
执行后,勒索软件将加密一个人的文件,并将.givemenitro扩展名附加到加密的文件中,如下所示。
完成后,NitroRansomware会将用户的墙纸更改为邪恶的 或生气的Discord徽标,如下所示。
然后将显示勒索软件屏幕,要求在三个小时内提供免费的Nitro礼物代码,否则勒索软件将删除受害者的加密文件。该计时器似乎是一个空闲威胁,因为BleepingComputer看到的勒索软件样本在计时器达到零时不会删除任何文件。
当用户输入Nitro礼品代码URL时,勒索软件将使用Discord API URL对其进行验证,如下所示。如果输入了有效的礼品代码链接,勒索软件将使用嵌入式静态解密密钥对文件进行解密。
由于解密密钥是静态的,并且包含在勒索软件可执行文件中,因此可以解密文件而无需实际支付Nitro礼物代码勒索。
因此,如果您成为该勒索软件的受害者,则可以共享可执行文件的链接以提取解密密钥。
不幸的是,除了对文件进行加密之外,Nitro Ransomware还将在受害者的计算机上执行其他恶意活动。
窃取令牌并执行命令
如果威胁行为者不试图窃取受害者的Discord令牌,则不会是与Discord相关的恶意软件。
不和谐令牌是绑定到特定用户的身份验证密钥,该密钥在被盗时允许威胁行为者以关联用户身份登录。
NitroRansomware启动时,它将搜索受害者的Discord安装路径,然后从位于“本地存储\ leveldb”下的* .ldb文件中提取用户令牌。然后,这些令牌通过Discord Webhook发送回威胁参与者。
在此过程中,恶意软件还将尝试从Google Chrome,Brave Browser和Yandex Browser窃取数据。
NitroRansomware还包括执行命令并将输出通过Webhook发送到攻击者的Discord通道的功能。当前仅使用“ wmic csproduct get uuid”命令获取计算机的UUID。
好消息是,这种勒索软件无法很好地隐藏其解密密钥,用户可以免费恢复其文件。
但是,坏消息是威胁者可能已经窃取了用户的Discord令牌。
因此,感染了该勒索软件的用户应立即更改其Discord密码,以防其帐户遭到破坏。
更新4/19/21:该恶意软件还添加了从浏览器中窃取信息。
专家Kevin Beaumont还分享了有关威胁的其他信息。
一些哈希@ fbgwls245
31d8bf2c78aa058334285be25be341177adbc1b5
288635e27276ba6da3291d0982a8f0f23ae0065e
f31720700d493af0d32708edb05eaa54e171ddbd
7f98e040368ca08fe37f4ebf2468fe1d3baed139
600cd3dd29c92bcb603b0d86ea804bfb3c64b8f1
fa28ea3a04a598c9d717a05e822d853d1cbf9a29
-凯文·博蒙特(@GossiTheDog)2021年4月18日
专家建议该勒索软件的受害者立即更改其Discord密码,对其计算机进行清理并删除未创建的Windows帐户。
*编译:Domino
*来自:bleepingcomputer、securityaffairs