Casa > Ciber Noticias > NextCry Ransomware se dirige a usuarios de NextCloud
CYBER NOTICIAS

NextCry ransomware se dirige a los usuarios NextCloud


Hay un nuevo ransomware llamada NextCry que actualmente se dirige a los usuarios NextCloud. NextCloud es un paquete de software cliente-servidor para la creación y uso de archivos de servicios de alojamiento.




Cuando se observó por primera vez en el medio natural, NextCry no fue detectado por cualquiera de antivirus de VirusTotal. En el momento se está escribiendo este artículo, el ransomware es detectado por 7 motores, incluyendo FireEye, TrendMicro, Bitdefender, DrWeb, y Kaspersky. Varios antivirus son actualmente incapaces de procesar el archivo malicioso cargado.

NextCry ransomware - Descripción técnica general

De acuerdo con el investigador de seguridad Michael Gillespie, el ransomware es una nueva amenaza que utiliza base 64 para cifrar los nombres de archivo. Es de destacar que el ransomware también cifra el contenido del archivo cifrado, después de que ha sido cifrado.

Según los investigadores BC, NextCry es un script en Python compilado en un binario Linux LF con la ayuda de PyInstaller. Su nota de rescate se encuentra en un archivo llamado READ_FOR_DECRYPT. La nota dice que los archivos del usuario se cifran con los algoritmos de cifrado AES con una clave de 256 bits. Michael Gillespie pudo confirmar el uso de AES-256, y que la clave está encriptada a través de RSA-2048 de clave pública, que está incrustado en el código ransomware.

Relacionado: [wplinkpreview url =”https://sensorstechforum.com/can-encryption-protect-ransomware/”] Cifrado puede protegerle De ransomware?

Los investigadores de seguridad también fueron capaces de determinar que, hasta aquí, el ransomware NextCry solamente se dirige a los servicios y los usuarios NextCloud. Tras la ejecución, el malware será localizar el directorio compartido de archivos y datos de sincronización NextCloud de la víctima mediante la lectura de la archivo config.php. Entonces, será eliminar las carpetas que podrían utilizarse para restaurar los archivos. El siguiente paso es el cifrado de todos los archivos que se encuentran en el directorio de datos.

A finales de octubre, NextCloud publicó un “urgente problema de seguridad en Nginx / php-FPM". El aviso de seguridad dijo que un riesgo surgió alrededor Nginx, documentada en CVE-2019 a 11.043.

Esta vulnerabilidad permite la ejecución remota de código en algún Nginx y configuraciones php-fpm. Un exploit público de CVE-2019 hasta 11043 está disponible en la naturaleza, y al parecer se ha aprovechado en los ataques contra servidores vulnerables. Los administradores deben actualizar sus paquetes de PHP y archivo de configuración de Nginx a la explotación evitar.

NextCloud está investigando los incidentes de seguridad.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo