NextCry Ransomware

Prijetnje protiv otkaza obično se ušunjavaju u računalo i obavezno zaključavaju sve prisutne podatke prije nego što žrtvu pokušaju ucjenjivati u plaćanju otkupnine. Međutim, neki autori prijetnji koje nude ransomware kreativniji su. Jedna od najnovijih uočenih prijetnji naziva se NextCry Ransomware. Umjesto da cilja računala, NextCry Ransomware kreće nakon usluge dijeljenja datoteka nazvane NextCloud. Usluga NextCloud popularna je kako između redovnih korisnika, tako i malih i velikih poduzeća. Korisnici platforme NextCloud na meti su cyber lopova iza NextCry Ransomwarea, a žrtve su šifrirali svoje podatke.

Šifriranje i sinkronizacija

Kada su stručnjaci za cyber-sigurnost proučavali NextCry Ransomware, otkrili su da je većina napisana na programskom jeziku Python. NextCry Ransomware može raditi samo na operativnim sustavima koji su utemeljeni na UNIX-u, budući da je izvršni ELF Binary prikladan za Linux OS. Kad NextCry Ransomware infiltrira svoj cilj, skenirat će podatke i provjeriti postavke u pogledu sinkronizacije. Zatim NextCry Ransomware započinje šifriranje ciljanih podataka. Nakon toga, prijetnja će zasigurno pokrenuti i postupak sinkronizacije. To bi osiguralo da će i sve sigurnosne kopije datoteka proći postupak šifriranja NextCry Ransomwarea. Ako se korisniku uskrati mogućnost da preuzme svoje podatke iz sigurnosne kopije, čini vjerojatnijim da će razmotriti plaćanje naknade za otkupninu. Kada NextCry Ransomware zaključa datoteku, na kraju naziva datoteke dodaje ekstenziju '.nextcry'.

Nadalje, ovaj jeziv trojanski šifrirajući podatak također kodira ime zaključanih datoteka primjenom metode base64. U poruci o otkupnini, napadači navode da bi htjeli primiti 0,25 bitcoina (otprilike 2.100 dolara u vrijeme upisivanja ove objave) kao naknadu za otkupninu. Autori NextCry Ransomware-a pružaju adresu e-pošte na koju se mogu kontaktirati radi daljnjih informacija ili uputa - "aksdkja0sdp@ctemplar.com."

Usluga NextCloud izjavila je da je nedavno objavljena CVE-2019-11043 ranjivost RCE (daljinsko izvršavanje koda) koja utječe na softver web poslužitelja NGINX pomogla napadačima u kompromitiranju platforme.

Nije dobro kontaktirati stvaratelje NextCry Ransomwarea, a zasigurno im ne biste trebali davati ni svoj teško zarađeni novac. Obavezno instalirajte zakoniti alat za uklanjanje zlonamjernog softvera i ažurirajte softver kako biste umanjili šanse da postanete žrtva ransomwarea.