Hog Ransomware

En speciel malware-trussel ved navn Hog Ransomware er blevet opdaget af infosec-forskere. Hog Ransomware kræver, at brugerne slutter sig til en bestemt Discord-server for at dekryptere deres låste filer. Hog Ransomware bærer tegn på, at det stadig er i de tidlige stadier af udviklingen.

Når den udføres på en computer, vil Hod Ransomware implementere en krypteringsrutine, der bruger AES-256 kryptografiske algoritme til at låse de filer, der er gemt der. Hver berørt fil vil have '.hog' vedhæftet sit originale filnavn. Umiddelbart efter afslutningen af krypteringsprocessen udtrækker Hog Ransomware og udfører sin dekrypteringskomponent ved at starte en fil ved navn 'DECRYPT-MY-FILES.exe' i Windows Startup-mappe.

Dekryptereren vil forklare de berørte brugere, at de bliver nødt til at slutte sig til Discord-serveren til hackerne og derefter indtaste deres Discord-bruger-token i det relevante felt. Ved at analysere tokenet kan Hog Ransomware afgøre, om offeret virkelig har tilsluttet sig den anmodede server. Hvis kontrollen er positiv, eller serveren ikke eksisterer, gendanner dekrypteringsprogrammet de låste filer ved hjælp af en statisk nøgle indlejret i selve ransomware.

Det ser ud til, at flere cyberkriminelle begynder at udnytte Discord-platformen som en del af deres truende operationer. En anden for nylig opdaget ransomware ved navn Humble blev designet til at bruge Webhooks til at levere detaljer om de inficerede computere til angriberens Discord-server.