Hog Ransomware

Eine besondere Malware-Bedrohung namens Hog Ransomware wurde von Infosec-Forschern entdeckt. Für die Hog Ransomware müssen Benutzer einem bestimmten Discord-Server beitreten, um ihre gesperrten Dateien zu entschlüsseln. Die Hog Ransomware weist Anzeichen dafür auf, dass sie sich noch in einem frühen Entwicklungsstadium befindet.

Bei der Ausführung auf einem Computer stellt die Hod Ransomware eine Verschlüsselungsroutine bereit, die den kryptografischen Algorithmus AES-256 verwendet, um die dort gespeicherten Dateien zu sperren. An jede betroffene Datei wird '.hog' an ihren ursprünglichen Dateinamen angehängt. Unmittelbar nach Abschluss des Verschlüsselungsprozesses extrahiert die Hog Ransomware ihre Entschlüsselungskomponente und führt sie aus, indem sie eine Datei mit dem Namen "DECRYPT-MY-FILES.exe" im Windows-Startordner startet.

Der Entschlüsseler erklärt den betroffenen Benutzern, dass sie dem Discord-Server der Hacker beitreten müssen, und gibt dann in das entsprechende Feld ihr Discord-Benutzertoken ein. Durch die Analyse des Tokens kann die Hog Ransomware feststellen, ob das Opfer tatsächlich dem angeforderten Server beigetreten ist. Wenn die Prüfung positiv ist oder der Server nicht vorhanden ist, stellt das Entschlüsselungsprogramm die gesperrten Dateien mithilfe eines statischen Schlüssels wieder her, der in die Ransomware selbst eingebettet ist.

Es scheint, dass immer mehr Cyberkriminelle beginnen, die Discord-Plattform als Teil ihrer Bedrohungsoperationen auszunutzen. Eine andere kürzlich entdeckte Ransomware namens Humble wurde entwickelt, um mithilfe von Webhooks Details zu den infizierten Computern an den Discord-Server des Angreifers zu senden.