Fidye taleplerine yeni bir yaklaşım getiren yeni fidye yazılımı “NitroRansomware”, kurbanlarından şifrelenen dosyalarına karşılık fidye olarak Discord Nitro hediye kodu istiyor.
Discord’un temel özellikleri ücretsiz kullanılabiliyor. Bununla beraber aylık 9.99 USD ödemeli bir Discord Nitro aboneliği ile yüksek kapasiteli yüklemeler, HD Video akışı, gelişmiş emojiler gibi ilave özellikler satın alınabiliyor.
Discord üyesi kişi Nitro aboneliği kendisi için alabildiği gibi başka biri için hediye olarak da alabiliyor. Hediye discord aboneliği alınması durumunda https://discord.gift/[code] şeklinde bir link üzerinden istenilen kişi ile hediye abonelik paylaşılabiliyor.
Farklı bir fidye yaklaşımı
Normalde fidye virüsü saldırganları kripto paralar üzerinden ödeme isterken Nitro Ransomware farklı bir yaklaşım getirerek Discord Nitro hediye linki gönderilmesini talep ediyor.
Güvenlik araştırmacılarının bulgularına göre bu NitroRansomware’in kendisi de bedava Discord hediye kodu ürettiğini söyleyen bir araç üzerinden yayılıyor. İlgili araç çalıştırıldığı zaman bütün dosyalar .givemenitro uzamtısı ile şifreleniyor.
Şifreleme işlemi bittikten sonra da kullanıcının arka plan resmi şeytani bir Discord logosuna dönüşüyor.
Daha sonra aşağıdaki gibi bir Ransomware ekranı ortaya çıkarak kullanıcından Nitro hediye linki girmesini istiyor. Girilen hediye linkinin geçerliliği API üzerinden teyit edildikten sonra kullanıcıya şifrelerin çözülmesi için gerekli anahtar gönderiliyor. Ekranda görünen zamanlayıcı sıfırlandığı zaman da kullanıcıya ait dosyalar siliniyor.
Ransonware kurbanı kullanıcı geçerli bir hediye linki girdiği zaman ransomware yazılımı çalıştırılabilir dosya içerisine gömülü statik bir anahtar kullanarak dosyaların şifrelerinin çözülmesini sağlıyor.
Şifre çözme anahtarları çalıştırılabilir dosya içerisinde gömülü olduğu için herhangi bir hediye linki göndermeden de dosyaları kurtarmak mümkün olabiliyor ama bu ransomware dosyaları şifrelemekten dışında kullanıcıdan başka bilgileri de çalıyor.
Nitro Ransomware kurbanın bilgisayarında çalıştıktan sonra Discord uygulamasının kurulu olduğu klasöre gidip kullanıcı token’larını aldığı gibi Google Chrome, Brave Browser, Yandex Browser gibi tarayıcıların verilerini de çalıyor.
Bu ransomware’den etkilenen kullanıcılarının öncelikle Discord ve diğer hesaplarına ait parolaları da sıfırlamaları gerekiyor.
Kaynak: www.bleepingcomputer.com