Discordos ajándékokra pályázik egy zsarolóvírus

​A netes zsarolók gyakorta sok ezer dolláros váltságdíjakat követelnek, miután értékes fájlokat titkosítanak. A NitroRansomware nevű szerzemény azonban másfajta követeléssel állt elő.
 

Amikor egy számítógépet megfertőz egy zsarolóvírus, akkor az esetek többségében fájlokat kezd titkosítani, illetve újabban adatokat is kiszivárogtathat. Ezzel eléri, hogy a felhasználó zsarolhatóvá váljon vagy a tönkretett állományok révén, vagy az eltulajdonított bizalmas adatok miatt. Ilyen esetekben a váltságdíj mértéke nagyon eltérő lehet, de gyakorta előfordul, hogy több ezer dollárra is rúghat az összeg. (Az sem példa nélküli, hogy célzott támadások során pórul járt vállalatoktól, intézményektől több milliót próbálnak bezsebelni az elkövetők.) Az azonban szinte mindegyik esetben közös, hogy ilyenkor kriptopénzt követelnek a zsarolók, általában Bitcoint. A NitroRansomware terjesztőinek viszont másra fáj a foguk.
 
A MalwareHunterteam kutatóinak legutóbbi felfedezése szerint az egyébként már régebbről ismert NitroRansomware új taktikával állt elő. Ugyan továbbra is fájlok tikosításával teremti meg az alapot a zsarolásra, de ezúttal nem pénzt, hanem Discord Nitro ajándékkódot követel. (A Discord alapesetben ingyenesen használható csevegő alkalmazás, de némi előfizetési díjért cserébe "felextrázható" különféle szolgáltatásokkal, funkciókkal.)
 
Egy támadás anatómiája
 
Amikor a Nitro zsarolóvírus felkerül egy számítógépre, akkor rögtön elkezdi titkosítani a fájlokat, és azok nevét a ".givemenitro" kiterjesztéssel egészíti ki. Ezt követően lecseréli az Asztal háttérképét, és egy felbukkanó ablakban közli a követeléseit. Ebben az ablakban egy visszaszámlálás is elindul: a kártevő három órát ad a felhasználónak arra, hogy egy Nitro ajándékkódot megadjon, ellenkező esetben törli a fájlokat. Legalábbis a károkozó üzenete szerint, ugyanis a kutatók a jelenlegi variánsban nem találtak olyan kódrészletet, amely ténylegesen alkalmassá tenné a zsarolóprogramot fájltörlésre.
 
Ha a felhasználó teljesíti a követeléseket, és megadja a Nitro-kódot, akkor a zsarolóvírus azt a Discord API segítségével ellenőrzi. Amennyiben érvényesnek bizonyul a kód, akkor megtörténik a kompromittált állományok helyreállítása. A biztonsági kutatók arra is rájöttek, hogy a Nitro a fájlok titkosítását egy "beégetett" titkosító kulcs segítségével végzi, ami azt jelenti, hogy lehetőség nyílhat a dekódolásra a követelések teljesítése nélkül is. Ugyan jelenleg még nem érhető el olyan segédprogram, ami ezt megkönnyítené, de elméletileg lehet ilyet készíteni.
 
A Nitro kapcsán fontos megemlíteni, hogy a fájltitkosítás mellett alkalmas adatlopásra is. Képes például a Google Chrome, a Brave Browser és a Yandex Browser webböngészőkből kiexportálni a felhasználó által elmentett adatokat. Emellett Discordhoz tartozó információkat, tokeneket is eltulajdoníthat.
 
A NitroRansomware ellen korszerű víruskeresőkkel, rendszeres biztonsági mentésekkel és biztonságtudatos számítógéphasználattal lehet védekezni.
Vélemények
 
  1. 4

    A Foxit fejlesztői kiadták a legújabb biztonsági hibajavításokat.

  2. 4

    A Google 42 különféle biztonsági rést foltozott be az Android operációs rendszeren.

  3. 3

    Az AstroLocker egy meglehetősen komplex működésű zsarolóvírus, amely fájlok titkosításával okoz károkat.

 
Partnerhírek
​Óvakodjunk a COVID-19 vakcinával kapcsolatos csalásoktól

Bitcoinnal fizethető hamis koronavírus-oltásokra épülő csalásra figyelmeztetnek a nemzetközi hatóságok.

Miért esünk könnyen áldozatul az SMS csalásoknak?

Az ESET szakemberei bemutatják az új SMS csalást és a szükséges teendőket, ha letöltöttük az adatlopó alkalmazást.

hirdetés
Közösség