Es gibt eine neue Ransomware genannt NextCry die derzeit NextCloud Benutzer zielt. NextCloud ist eine Suite von Client-Server-Software für die Erstellung und Verwendung von Datei-Hosting-Service.
Wenn es wurde zum ersten Mal in der freien Natur beobachtet, NextCry wurde nicht von einer Virustotal von Antivirenprogrammen erkannt. dieser Artikel Zu der Zeit wird geschrieben, die Ransomware ist detektiert durch 7 Motoren, einschließlich FireEye, Trendmicro, Bitdefender, DrWeb, und Kaspersky. Mehrere Anti-Virus-Engines sind derzeit nicht in der Lage, die hochgeladen bösartige Datei zu verarbeiten.
NextCry Ransomware - Technische Übersicht
Laut Sicherheitsforscher Michael Gillespie, die Ransomware ist eine neue Bedrohung, die Base64 verwendet die Dateinamen zu verschlüsseln. Es ist bemerkenswert, dass die Ransomware verschlüsselt auch den Inhalt der verschlüsselten Datei, nachdem sie verschlüsselt wurde.
Laut BC Forscher, NextCry ist ein Python-Skript in einem Linux-LF kompilierte binäre mit Hilfe von pyInstaller. Sein Erpresserbrief wird in einer Datei gespeichert dubbed READ_FOR_DECRYPT. Die Notiz besagt, dass die Dateien des Benutzers mit den Verschlüsselungsalgorithmen AES verschlüsselt werden mit einem 256-Bit-Schlüssel. Michael Gillespie konnte die Verwendung von AES-256 bestätigen, und dass der Schlüssel selbst über RSA-2048 öffentliche Schlüssel verschlüsselten, die in der Ransomware-Code eingebettet ist,.
Sicherheitsforscher waren auch in der Lage zu bestimmen, dass, bisher, die NextCry Ransomware zielt nur NextCloud Dienste und Benutzer. Bei der Ausführung, die Malware wird die NextCloud Dateifreigabe und Sync-Datenverzeichnis des Opfers finden, indem das Lesen config.php. Dann, es werden die Ordner löschen, die Dateien wiederherstellen könnte möglicherweise verwendet. Der nächste Schritt ist die Verschlüsselung aller Dateien im Datenverzeichnis.
Ende Oktober, NextCloud veröffentlicht eine „Dringende Sicherheitsproblem in NGINX / php-fpm". Der Fehlerbericht sagte, dass ein Risiko entsteht um NGINX, in CVE-2019-11043 dokumentiert.
Bei diesem Exploit ermöglicht Remotecodeausführung auf einige NGINX und php-fpm Konfigurationen. Ein öffentlicher Exploit für CVE-2019-11043 in der freien Natur vorhanden ist, und anscheinend hat sich in der Angriffe auf gefährdete Server genutzt. Administratoren sollten ihre PHP-Pakete und NGINX Konfigurationsdatei zu vermeiden Ausbeutung aktualisieren.
NextCloud prüft derzeit die Sicherheitsvorfälle.