Los códigos de regalo de Discord Nitro ahora se requieren como pagos de ransomware

Discordia

En un nuevo enfoque de las demandas de rescate, un nuevo ransomware que se hace llamar "NitroRansomware" cifra los archivos de la víctima y luego solicita un código de regalo de Discord Nitro para descifrar los archivos.

Aunque Discord es gratuito, ofrece un complemento de suscripción de Nitro por $ 9.99 por mes que brinda beneficios adicionales, como cargas más grandes, transmisión de video HD, emojis mejorados y la capacidad de impulsar su servidor favorito para que sus usuarios puedan aprovechar de características adicionales también.

Al comprar una suscripción de Nitro, los usuarios pueden aplicarla a su cuenta o comprarla como regalo para otra persona. Al obsequiar, el comprador recibirá una URL en el formato https://discord.gift/[code], que luego se puede entregar a otro usuario de Discord.

Regala una suscripción a Nitro
Regala una suscripción a Nitro
→ Índice de contenidos

No es la típica nota de rescate

Si bien la mayoría de las operaciones de ransomware requieren miles, si no millones, de dólares en criptomonedas, Nitro Ransomware se desvía de la norma al solicitar un código de regalo Nitro de $ 9,99.

Basado en nombres de archivo para muestras de NitroRansomware compartidas por MalwareHunterteam y analizado por BleepingComputer, este nuevo ransomware parece distribuirse como una herramienta falsa que afirma que puede generar códigos de regalo Nitro gratuitos.

Cuando se ejecuta, el ransomware cifra los archivos de una persona y agrega el archivo. .givemenitro extensión a archivos cifrados, como se muestra a continuación.

Archivos cifrados por NitroRansomware
Archivos cifrados por NitroRansomware

Cuando termine, NitroRansomware cambiará el fondo de pantalla del usuario a un archivo Maldad o enfadado Logotipo de Discord, como se muestra a continuación.

El fondo cambió al logo de Angry Discord.
El fondo cambió al logo de Angry Discord.

Aparecerá una pantalla de ransomware solicitando un código de regalo Nitro gratuito dentro de las tres horas, o el ransomware eliminará los archivos cifrados de la víctima. Este temporizador parece ser una amenaza inactiva ya que las muestras de ransomware vistas por BleepingComputer no eliminan ningún archivo cuando el temporizador llega a cero.

Pantalla de NitroRansomware
Pantalla de NitroRansomware

Cuando un usuario ingresa la URL de un código de regalo de Nitro, el ransomware lo verificará utilizando una URL de API de Discord, como se muestra a continuación. Si se ingresa un enlace de código de regalo válido, el ransomware descifra los archivos usando una clave de descifrado estática incorporada.

Compruebe si un código de regalo de Discord Nitro es válido
Compruebe si un código de regalo de Discord Nitro es válido

Dado que las claves de descifrado son estáticas y están contenidas en el ejecutable del ransomware, es posible descifrar los archivos sin tener que pagar el rescate del código de regalo de Nitro.

Por lo tanto, si es víctima de este ransomware, puede compartir un enlace al ejecutable para extraer una clave de descifrado.

Desafortunadamente, además de cifrar sus archivos, Nitro Ransomware también realizará otras actividades maliciosas en la computadora de la víctima.

Robar tokens y ejecutar comandos

No sería malware relacionado con Discord si los actores de la amenaza no intentaran robar los tokens de Discord de una víctima.

Los tokens de discordia son claves de autenticación vinculadas a un usuario en particular que, si son robadas, permiten que un actor de amenazas inicie sesión como un usuario asociado.

Cuando se inicia NitroRansomware, buscará la ruta de instalación de Discord de la víctima y luego extraerá los tokens de usuario de los archivos * .ldb ubicados en "Almacenamiento local leveldb". Estos tokens luego se envían de vuelta al actor de amenazas a través de un webhook de Discord.

Robar fichas de usuario de Discord
Robar fichas de usuario de Discord

NitroRansomware también incluye funciones rudimentarias de puerta trasera que permiten al actor de amenazas ejecutar comandos de forma remota y luego enviar la salida a través de su webhook al canal Discord del atacante.

Actuando como puerta trasera para ejecutar comandos remotos
Actuando como puerta trasera para ejecutar comandos remotos

La buena noticia es que este ransomware no oculta su clave de descifrado y los usuarios pueden recuperar sus archivos de forma gratuita.

Sin embargo, la mala noticia es que el actor de la amenaza probablemente ya haya robado el token de Discord de un usuario y posiblemente ejecute comandos adicionales en un dispositivo infectado.

Por esta razón, los usuarios infectados con este ransomware deben cambiar inmediatamente su contraseña de Discord y ejecutar un análisis de virus para detectar otros programas maliciosos agregados a la computadora.

También se sugiere que los usuarios busquen nuevas cuentas de usuario en Windows que no hayan creado y las eliminen si las encuentran.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings