Nitro Ransomware
GiveMeNitro Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в денежной сумме с подарочных карт Discord Nitro. Оригинальное название: Nitro Ransomware. Использует Discord для вымогательства. На файле написано: NitroRansomware.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33865
BitDefender -> Gen:Heur.Ransom.MSIL.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.jwrcw
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AHT
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Gen.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cryptolocker.DL!MTB
Rising -> Ransom.CryptoLocker!8.4617 (CLOUD)
Symantec -> Trojan.Gen.2
TrendMicro -> Ransom.MSIL.NITRO.A
---
© Генеалогия: ??? >> Nitro
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .givemenitro
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Образец этого крипто-вымогателя был найден в середине апреля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Запиской с требованием выкупа выступает следующий экран блокировки:
Содержание записки о выкупе:
Перевод записки на русский язык:
Oh no! Your files have been encrypted.
Info
All of your important documents have been locked and have
been AES encrypted. There is no other way to open it unless you have the decryption key. You have under 3 hours to give us Discord nitro. If you fail to do so, all files will be lost forever.
How do I get the decryption key?
Buy a Discord nitro gift subscription and paste the gift link in the text box. After submitting a valid gift link, you should be able to see the decryption key. Copy the decryption key and click on decrypt files. When decrypting, make sure Windows defender/ any antivirus is off. If you don't turn it off, not all files will be able to decrypt correctly.
Do not rename the files or try guessing the decryption key. If you do so, your files may get corrupted.
Перевод записки на русский язык:
О нет! Ваши файлы зашифрованы.
Инфо
Все ваши важные документы блокированы и зашифрованы AES. Нет другого способа открыть его, если у вас нет ключа дешифрования. У вас меньше 3 часов, чтобы передать нам Discord nitro. Если вы этого не сделаете, все файлы будут потеряны навсегда.
Как получить ключ дешифрования?
Купите подарочную подписку Discord nitro и введите подарочную ссылку в текстовое поле. После отправки валидной подарочной ссылки вы должны увидеть ключ дешифрования. Скопируйте ключ дешифрования и нажмите "Расшифровать файлы". При расшифровке убедитесь, что защитник Windows / любой антивирус выключен. Если вы не отключите его, не все файлы смогут правильно расшифроваться.
Не переименовывайте файлы и не пытайтесь угадать ключ дешифрования. Иначе ваши файлы могут повредиться.
---
Кроме того, вымогатели заменяют на ПК обои Рабочего стола следующим изображением:
Кроме того, как аватар используется онлайн-изображение с чёрным логотипом Discord на красном фоне.
Таймер, который стоит на экране программы-вымогателя, видимо стоит для того, чтобы запугать жертву и заставить скорее заплатить выкуп. По истечении времени файлы не удаляются. Подтверждено опутным путем.
Когда пользователь вводит URL-адрес подарочного кода discord.com/***, программа-вымогатель проверяет его, используя URL-адрес Discord API. Если введена валидная ссылка на подарочный код, программа-вымогатель расшифрует файлы с помощью встроенного статического ключа дешифрования.
Поскольку ключи дешифрования статичны и содержатся в исполняемом файле программы-вымогателя, можно расшифровать файлы, не платя выкуп в виде подарочного кода Discord Nitro.
Что такое Discord Nitro?
Чтобы не делать бесплатную рекламу платным функциям, просто посмотрите на скриншот. Рекламодатели читайте здесь >>
С помощью этой программы злоумышленники пытаются украсть информацию из браузеров и токены Discord. Токены Discord - это ключи аутентификации, привязанные к конкретному пользователю, которые в случае кражи позволяют злоумышленнику войти в систему как сам скомпрометированный пользователь.
Когда Nitro Ransomware запускается, оно будет искать путь установки Discord жертвы, а затем извлекать токены пользователей из файлов *.ldb, расположенных в папке Local Storage \ leveldb. Затем эти токены переправляются злоумышленнику через веб-перехватчик Discord.
Nitro Ransomware также содержит возможности бэкдора, которые позволяют злоумышленнику удаленно выполнять команды, а затем отправлять выходные данные через свой веб-перехватчик на канал Discord злоумышленника.
Пострадавшим рекомендуется проверить ПК на наличие другого вредоносного ПК и сменить пароль от учетной записи Discord на более сложный.
Технические детали
Распространяется как поддельный инструмент, заявляющий, что может генерировать бесплатные подарочные коды Nitro.
После доработки вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
NitroRansomware.pdb - название файла проекта;
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
NitroRansomware.pdb - название файла проекта;
NitroRansomware.exe - название вредоносного файла;
<random>.exe - случайное название вредоносного файла;
NR_decrypt.txt - файл с кодом для расшифровки.
NR_decrypt.txt - файл с кодом для расшифровки.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\coazy\Desktop\Source Codes\Nitro-Ransomware-master\NitroRansomware\obj\Debug\NitroRansomware.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL Discord Nitro: hxxxs://discord.com/nitro
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL Discord Nitro: hxxxs://discord.com/nitro
URL изображения: hxxxs://i.ibb.co/0frTD92/discord-avatar-512.png
URL для определения IP-адреса: hxxxs://api.ipify.org/
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Вариант от 7 августа 2021:
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 7 августа 2021:
Ключ дешифрования: forzanapolisemprenelcuore
Результаты анализов: VT + IA
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Результаты анализов: VT + IA
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + myMessage + Message ID Ransomware (ID as Nitro) Write-up, Topic of Support ***
Thanks: MalwareHunterTeam, Lawrence Abrams, Michael Gillespie Andrew Ivanov (article author) Petrovic to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
