Le NitroRansomware chiffre les fichiers du PC de ses victimes. Pour les débloquer, il ne demande qu'un code cadeau pour un abonnement à Discord Nitro. Son prix ? 9,99 dollars.

Certains rançongiciels exigent des dizaines de millions de dollars à leurs victimes. Celui-ci se contentera d’un code cadeau d’une valeur de 9,99 dollars. Le Bleeping Computer a analysé l’étrange « NitroRansomware », qui prend son nom de Discord Nitro, la version premium de l’application de discussion.

Pour 9,99 dollars par mois, les abonnés à Nitro s’offrent quelques avantages techniques (streamer avec une meilleure qualité d’image, publier des fichiers plus lourds, « booster » son serveur…), mais aussi esthétiques (emojis, personnalisation du profil…). Autrement dit, Nitro n’est pas nécessaire pour profiter pleinement de Discord, mais il donne accès à des options de confort. La plateforme propose de s’abonner au mois ou à l’année, mais aussi d’acheter un abonnement pour l’offrir à un autre utilisateur. Une fois le paiement effectué, l’acheteur obtiendra une URL sous la forme https://discord.gift/ suivi d’un code unique qu’il pourra envoyer à un ami.

9,99 dollars la rançon, il est tentant de payer, non ? // Source : Montage Numerama

Bien que facultatif, Nitro attire la convoitise. Il existe notamment un mythe autour des « générateurs de Nitro », des scripts qui seraient capables de créer des codes cadeau pour activer l’abonnement. Les malfaiteurs savent que ce genre d’outils frauduleux sont recherchés sur des forums ou canaux de discussion peu régulés. Ils en profitent donc pour cacher des malwares (dont le NitroRansomware) sous l’apparence d’un générateur. C’est une couverture parfaite, puisque le côté illégal du supposé générateur justifie qu’il faille désactiver les protections de l’ordinateur, et ainsi le rendre vulnérable au malware.

L’utilisateur de Discord va télécharger le fichier puis l’exécuter sur son PC, mais il n’obtiendra jamais les codes espérés.

Rançongiciel raté

Le NitroRansomware va se déployer sur l’ordinateur et chiffrer les fichiers qu’il y trouve. Concrètement, le chiffrement empêche de lire le contenu des documents, et les logiciels de l’appareil cesseront de fonctionner. Pour impressionner la victime, ce ransomware va aussi changer le fond d’écran de l’ordinateur par un logo modifié de Discord avec des cornes de diable, relève le Bleeping Computer.

Le seul moyen — en théorie — pour inverser ce chiffrement est d’obtenir la clé de déchiffrement de la part des malfaiteurs. Habituellement, les malfrats déposent une note de rançon succincte sur les appareils infectés, sous la forme d’un post-il virtuel. Les développeurs de NitroRansomware ont, de leur côté, préféré créer un écran de rançon de leur cru, qui s’affichera en pleine page. En haut de l’écran, un message « Oh non, vos fichiers ont été chiffrés ». À gauche, les malfrats affichent un chronomètre de trois heures, au terme duquel la victime doit payer, ou alors « ses fichiers disparaîtront à jamais ». À droite, ils expliquent le principe de l’opération : la victime doit rentrer un code Nitro dans la barre prévue à cet effet pour obtenir l’outil de déchiffrement.

Plus qu’un simple rançongiciel

Le Bleeping Computer note que puisque la clé de déchiffrement est contenue dans le fichier téléchargé par la victime, il n’est pas nécessaire de payer la rançon : des personnes compétentes seront capables d’extraire la clé de déchiffrement du fichier, et de s’en servir pour annuler les dégâts. Et ce n’est pas tout : le chronomètre de 3 heures n’est qu’un subterfuge pour précipiter la décision des victimes, il ne supprimera pas le contenu de l’ordinateur.

Malgré ces défauts de fabrication, ce malware est dangereux, car il s’avère être plus qu’un rançongiciel. C’est aussi un « grabber », capable de dérober les jetons d’authentification à Discord. Ces jetons permettront aux malfaiteurs de se connecter au compte sans même avoir obtenu les identifiants de sa victime. Les victimes du NitroRansomware devront donc changer leur mot de passe (ce qui modifiera les jetons), mais aussi scanner leur ordinateur à la recherche d’autres éventuels malwares.

Crédit photo de la une : Ivan Radic/Flickr

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux