Nitro Ransomware

Várias famílias de ransomware já foram observadas usando webhooks Discord para comunicação e exfiltração de dados dos sistemas comprometidos. No entanto, os cibercriminosos por trás do Nitro Ransomware deram um passo além, já que em vez do resgate usual pago em uma das cripto-moedas populares, eles exigem de suas vítimas um pagamento em cartões-presente do Discord Nitro.

Discord é uma das plataformas sociais mais populares entre os usuários de computador. Começando como um serviço VoIP (Voice over IP) voltado para jogadores de PC, o aplicativo se expandiu desde então para uma plataforma completa que permite aos usuários enviar mensagens, realizar chamadas de áudio e vídeo, enviar arquivos e se comunicar por meio de chats privados ou comunidades chamadas de servidores. Além do seu nível gratuito, o Discord oferece assinaturas pagas para a atualização 'Nitro' ao preço de $ 9,99. Por esses preços, os usuários obtêm um limite expandido de arquivos carregados, streaming de vídeo HD, emojis adicionais e a opção de promover servidores. Os operadores do NitroRansomware estão se concentrando exatamente nessas assinaturas do Nitro.

Chave de Descriptografia Estática e Códigos de Presente para o Discord

O Nitro Ransomware está sendo distribuído sob o disfarce de uma ferramenta de software que supostamente é capaz de gerar códigos de presente Nitro gratuitos. Os usuários que desejam obter esses códigos por meios ilícitos são, em vez disso, infectados com a ameaça de malware. Os arquivos nos computadores comprometidos serão então bloqueados por meio de uma rotina de criptografia. Cada arquivo afetado terá '.givemenitro' anexado ao seu nome como uma nova extensão. Após a conclusão do processo de criptografia, o Nitro Ransomware mudará o papel de parede padrão do sistema pela imagem de um logotipo modificado do Discord e exibirá a sua nota de resgate em uma janela pop-up.

De acordo com as instruções, os usuários têm 3 horas para fornecer um código de presente válido do Discord Nitro no campo apropriado para descriptografar os seus arquivos. Se o tempo expirar, os hackers ameaçam que todos os dados criptografados sejam excluídos e perdidos para sempre. Isso, no entanto, é apenas uma ameaça vazia, pois a análise do código subjacente revelou que nenhum arquivo será excluído quando o tempo acabar. Além disso, o Nitro Ransomware usa uma chave de descriptografia estática incorporada, para liberar os arquivos do usuário sempre que um código de presente apropriado for fornecido. O uso de chaves estáticas significa que um descriptografador em potencial pode ser criado para que os usuários possam obter os seus arquivos gratuitamente, sem envolver-se com os hackers.

O Nitro Ransomware Expandiu uma Funcionalidade Ameaçadora

Os recursos nefastos do Nitro Ransomware vão além do bloqueio de arquivos. A ameaça também pode atuar como um backdoor, permitindo que os hackers executem remotamente comandos arbitrários no sistema comprometido. Todos os resultados podem ser enviados para o canal Discord do invasor por meio de web-hooks. O Nitro Ransomware também pode coletar tokens Discord de suas vítimas que podem então ser usados para violar os servidores Discord associados.

Além de tentar recuperar os seus arquivos criptografados, as vítimas do Nitro Ransomware também são fortemente encorajadas a alteraras suas senhas do Discord o mais rápido possível. Outra medida preventiva para interromper qualquer possível ataque de acompanhamento é verificar o sistema infectado em busca de cargas de malware adicionais que possam ter sido entregues. Por fim, verifique se há novas contas do Windows que possam ter sido criadas pelos invasores e exclua-as imediatamente.