NextCry Ransomware

Ransomware-uhat hiipivät yleensä tietokoneeseen ja muista lukita kaikki läsnä olevat tiedot ennen kuin ne yrittävät kiristää uhria maksamaan lunastusmaksun. Jotkut ransomware-uhkien kirjoittajat ovat kuitenkin luovempia. Yksi uusimmista havaittuista uhista on nimeltään NextCry Ransomware. Tietokoneisiin kohdistamisen sijaan NextCry Ransomware seuraa tiedostonjakopalvelua nimeltään NextCloud. NextCloud-palvelu on suosittu sekä tavallisten käyttäjien että pienten ja suurten yritysten keskuudessa. NextCloud-alustan käyttäjiä ovat kohdistaneet NextCry Ransomware -yrityksen takana olevat verkkokyrkyt, ja uhrien tiedot on salattu.

Salaus ja synkronointi

Kun kyberturvallisuuden asiantuntijat tutkivat NextCry Ransomwarea, he huomasivat, että suurin osa siitä on kirjoitettu Python-ohjelmointikielellä. NextCry Ransomware pystyy toimimaan vain UNIX-pohjaisissa käyttöjärjestelmissä, koska suoritettava ohjelma on ELF Binary sopiva Linux-käyttöjärjestelmään. Kun NextCry Ransomware tunkeutuu tavoitteeseensa, se skannaa tiedot ja tarkistaa asetukset synkronoinnin suhteen. Seuraavaksi NextCry Ransomware alkaa salata kohdennetut tiedot. Tämän jälkeen uhka myös käynnistää synkronointiprosessin. Tämä varmistaisi, että myös kaikki tiedostojen varmuuskopiot käyvät NextCry Ransomwaren salausprosessin läpi. Jos käyttäjälle ei anneta mahdollisuutta hakea tietojaan varmuuskopiosta, on todennäköisempää, että hän harkitsee lunastusmaksun maksamista. Kun NextCry Ransomware lukitsee tiedoston, se lisää tiedostonimen loppuun '.nextcry' -laajennuksen.

Lisäksi tämä ilkeä, dataa salaava troijalainen koodaa myös lukittujen tiedostojen nimen käyttämällä base64-menetelmää. Lunastusviestissä hyökkääjät ilmoittavat haluavansa saada 0,25 Bitcoinia (noin 2100 dollaria tämän viestin kirjoittamishetkellä) lunastusmaksuna. NextCry Ransomwaren kirjoittajat tarjoavat sähköpostiosoitteen, josta heihin voidaan ottaa yhteyttä lisätietoja tai ohjeita varten - 'aksdkja0sdp@ctemplar.com.'

NextCloud-palvelun mukaan äskettäin julkaistun CVE-2019-11043: n RCE (Remote Code Execution) -haavoittuvuuteen, joka vaikuttaa NGINX-verkkopalvelinohjelmistoon, autettiin hyökkääjiä vaarantamaan alusta.

Ei ole hyvä idea ottaa yhteyttä NextCry Ransomwaren luojiin, ja sinun ei tule myöskään antaa heille kovasti ansaittua rahaa. Varmista, että olet asentanut laillisen haittaohjelmien torjuntatyökalun ja pidä ohjelmistosi ajan tasalla vähentääksesi mahdollisuuksia tulla lunaohjelmien uhreiksi.