Accueil > Nouvelles Cyber > NextCry Ransomware cible les utilisateurs NextCloud
CYBER NOUVELLES

NextCry Ransomware VISE Les utilisateurs NextCloud


Il y a un nouveau ransomware appelé NextCry qui vise actuellement les utilisateurs NextCloud. NextCloud est une suite de logiciels client-serveur pour la création et l'utilisation des services d'hébergement de fichiers.




Quand il a été observé dans la nature, NextCry n'a pas été détecté par aucun des moteurs antivirus VirusTotal. Au moment où cet article est écrit, le ransomware est détecté par 7 moteurs, FireEye y compris, TrendMicro, Bitdefender, DrWeb, et Kaspersky. Plusieurs moteurs antivirus sont actuellement incapables de traiter le fichier malveillant téléchargé.

NextCry Ransomware - Présentation technique

Selon le chercheur de sécurité Michael Gillespie, le ransomware est une nouvelle menace qui utilise base64 pour chiffrer les noms de fichiers. Il est à noter que le ransomware encrypte également le contenu du fichier crypté, après qu'il a été chiffré.

Selon les chercheurs Colombie-Britannique, NextCry est un script Python compilé dans un fichier binaire LF Linux avec l'aide de pyInstaller. Sa demande de rançon est situé dans un fichier baptisé READ_FOR_DECRYPT. La note indique que sont cryptées avec les algorithmes de chiffrement AES fichiers de l'utilisateur à l'aide d'une clé de 256 bits. Michael Gillespie a pu confirmer l'utilisation de AES-256, et que la clé elle-même est cryptée par clé publique RSA-2048, qui est incorporée dans le code ransomware.

en relation: [wplinkpreview url =”https://sensorstechforum.com/can-encryption-protect-ransomware/”] Le chiffrement peut vous protéger De Ransomware?

les chercheurs de sécurité ont également pu déterminer que, jusque là, le ransomware NextCry est uniquement cibler les services et les utilisateurs NextCloud. Lors de l'exécution, le malware localise le partage de fichiers NextCloud de la victime et le répertoire des données de synchronisation en lisant la fichier config.php. Puis, il supprimera les dossiers qui pourraient être utilisés pour restaurer les fichiers. L'étape suivante est le chiffrement de tous les fichiers situés dans le répertoire de données.

À la fin Octobre, NextCloud a publié un «problème de sécurité urgent Nginx / php-fpm". Le conseil de sécurité a déclaré qu'un risque a émergé autour NGINX, documenté dans CVE-2019-11043.

Cet exploit permet l'exécution de code à distance sur certaines configurations Nginx et PHP-FPM. Un public exploit pour CVE-2019-11043 est disponible dans la nature, et apparemment il a été tiré parti des attaques contre les serveurs vulnérables. Les administrateurs doivent mettre à jour leurs packages PHP et le fichier de configuration Nginx pour éviter l'exploitation.

NextCloud étudie actuellement les incidents de sécurité.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord