現在NextCloudユーザーをターゲットにしているNextCryと呼ばれる新しいランサムウェアがあります. NextCloudは、ファイルホスティングサービスを作成および使用するためのクライアントサーバーソフトウェアのスイートです.
野生で最初に観察されたとき, NextCryは、VirusTotalのどのアンチウイルスエンジンでも検出されませんでした. この記事が書かれている時点で, ランサムウェアは 検出されました に 7 エンジン, FireEyeを含む, トレンドマイクロ, Bitdefender, DrWeb, とカスペルスキー. いくつかのウイルス対策エンジンは現在、アップロードされた悪意のあるファイルを処理できません.
NextCryランサムウェア–技術概要
セキュリティ研究者によると マイケル・ギレスピー, ランサムウェアは、Base64を使用してファイル名を暗号化する新しい脅威です. ランサムウェアも暗号化されたファイルのコンテンツを暗号化することは注目に値します, 暗号化された後.
BCの研究者によると, NextCryは、pyInstallerを使用してLinuxLFバイナリでコンパイルされたPythonスクリプトです。. その身代金メモは吹き替えファイルにあります READ_FOR_DECRYPT. メモには、ユーザーのファイルは256ビットキーを使用したAES暗号化アルゴリズムで暗号化されていると書かれています. Michael Gillespieは、AES-256の使用を確認できました。, キー自体がRSA-2048公開キーを介して暗号化されていること, ランサムウェアコードに埋め込まれています.
セキュリティ研究者はまた、それを決定することができました, これまでのところ, NextCryランサムウェアはNextCloudサービスとユーザーのみを対象としています. 実行時, マルウェアは、被害者のNextCloudファイル共有を見つけてデータディレクトリを同期します。 config.phpファイル. それで, ファイルの復元に使用される可能性のあるフォルダが削除されます. 次のステップは、データディレクトリにあるすべてのファイルの暗号化です.
10月下旬に, NextCloudは「NGINX/php-fpmの緊急のセキュリティ問題」. セキュリティアドバイザリは、NGINXの周りにリスクが発生したと述べました, CVE-2019-11043に記載されています.
このエクスプロイトにより、一部のNGINXおよびphp-fpm構成でのリモートコード実行が可能になります. CVE-2019-11043の公開エクスプロイトは、野生で利用可能です, 明らかに、脆弱なサーバーに対する攻撃に利用されています. 管理者は、悪用を避けるために、PHPパッケージとNGINX構成ファイルを更新する必要があります.
NextCloudは現在セキュリティインシデントを調査しています.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: