Há um novo ransomware chamado NextCry que atualmente é direcionada aos usuários de NextCloud. NextCloud é um conjunto de software cliente-servidor para a criação e usando o arquivo de serviços de hospedagem.
Quando foi observada pela primeira vez no selvagem, NextCry não foi detectado por qualquer um dos antivírus do VirusTotal. No momento que este artigo está sendo escrito, o ransomware é detectou por 7 motores, incluindo FireEye, TrendMicro, Bitdefender, DrWeb, e Kaspersky. Vários antivírus estão atualmente incapaz de processar o arquivo malicioso carregado.
NextCry ransomware - Visão geral técnica
De acordo com o pesquisador de segurança Michael Gillespie, o ransomware é uma nova ameaça que usa Base64 para codificar os nomes de arquivo. Vale ressaltar que o ransomware também criptografa o conteúdo do arquivo criptografado, depois de ter sido criptografada.
De acordo com pesquisadores BC, NextCry é um script Python compilado em um binário Linux LF com a ajuda de pyInstaller. Sua nota de resgate está localizado em um arquivo apelidado READ_FOR_DECRYPT. A nota diz que os arquivos do usuário são criptografados com os algoritmos de criptografia AES usando uma chave de 256-bit. Michael Gillespie foi capaz de confirmar o uso de AES-256, e que a chave em si é criptografada via RSA 2048 chave pública, o qual está incorporado no código ransomware.
Os pesquisadores de segurança também foram capazes de determinar que, tão longe, o ransomware NextCry única tem como alvo serviços NextCloud e usuários. Após a execução, o malware irá localizar o diretório de compartilhamento de arquivos e sincronização de dados NextCloud da vítima através da leitura do arquivo config.php. Então, ele irá apagar pastas que potencialmente poderiam ser usados para restaurar arquivos. O próximo passo é a criptografia de todos os arquivos localizados no diretório de dados.
No final de outubro, NextCloud lançou um “problema de segurança urgente na NGINX / php-fpm”. O aviso de segurança disse que um risco surgiu em torno NGINX, documentada em CVE-2019-11043.
Este exploit permite a execução remota de código em algum NGINX e configurações php-fpm. Um exploit público para CVE-2019-11043 está disponível na natureza, e, aparentemente, foi alavancado em ataques contra servidores vulneráveis. Os administradores devem atualizar seus pacotes PHP e arquivo de configuração NGINX à exploração evitar.
NextCloud está actualmente a investigar os incidentes de segurança.