Il y a un nouveau ransomware appelé NextCry qui vise actuellement les utilisateurs NextCloud. NextCloud est une suite de logiciels client-serveur pour la création et l'utilisation des services d'hébergement de fichiers.
Quand il a été observé dans la nature, NextCry n'a pas été détecté par aucun des moteurs antivirus VirusTotal. Au moment où cet article est écrit, le ransomware est détecté par 7 moteurs, FireEye y compris, TrendMicro, Bitdefender, DrWeb, et Kaspersky. Plusieurs moteurs antivirus sont actuellement incapables de traiter le fichier malveillant téléchargé.
NextCry Ransomware - Présentation technique
Selon le chercheur de sécurité Michael Gillespie, le ransomware est une nouvelle menace qui utilise base64 pour chiffrer les noms de fichiers. Il est à noter que le ransomware encrypte également le contenu du fichier crypté, après qu'il a été chiffré.
Selon les chercheurs Colombie-Britannique, NextCry est un script Python compilé dans un fichier binaire LF Linux avec l'aide de pyInstaller. Sa demande de rançon est situé dans un fichier baptisé READ_FOR_DECRYPT. La note indique que sont cryptées avec les algorithmes de chiffrement AES fichiers de l'utilisateur à l'aide d'une clé de 256 bits. Michael Gillespie a pu confirmer l'utilisation de AES-256, et que la clé elle-même est cryptée par clé publique RSA-2048, qui est incorporée dans le code ransomware.
les chercheurs de sécurité ont également pu déterminer que, jusque là, le ransomware NextCry est uniquement cibler les services et les utilisateurs NextCloud. Lors de l'exécution, le malware localise le partage de fichiers NextCloud de la victime et le répertoire des données de synchronisation en lisant la fichier config.php. Puis, il supprimera les dossiers qui pourraient être utilisés pour restaurer les fichiers. L'étape suivante est le chiffrement de tous les fichiers situés dans le répertoire de données.
À la fin Octobre, NextCloud a publié un «problème de sécurité urgent Nginx / php-fpm". Le conseil de sécurité a déclaré qu'un risque a émergé autour NGINX, documenté dans CVE-2019-11043.
Cet exploit permet l'exécution de code à distance sur certaines configurations Nginx et PHP-FPM. Un public exploit pour CVE-2019-11043 est disponible dans la nature, et apparemment il a été tiré parti des attaques contre les serveurs vulnérables. Les administrateurs doivent mettre à jour leurs packages PHP et le fichier de configuration Nginx pour éviter l'exploitation.
NextCloud étudie actuellement les incidents de sécurité.