NextCry Ransomware

Le minacce ransomware di solito si intrufolano in un computer e assicurano di bloccare tutti i dati presenti prima di tentare di ricattare la vittima nel pagamento di una tassa di riscatto. Tuttavia, alcuni autori di minacce ransomware sono più creativi. Una delle più recenti minacce individuate si chiama NextCry Ransomware. Invece di prendere di mira i computer, NextCry Ransomware segue un servizio di condivisione di file chiamato NextCloud. Il servizio NextCloud è popolare sia tra gli utenti regolari che le piccole e grandi imprese. Gli utenti della piattaforma NextCloud sono stati presi di mira dai criminali informatici dietro il NextCry Ransomware e le vittime hanno avuto i loro dati crittografati.

Crittografia e sincronizzazione

Quando gli esperti di sicurezza informatica hanno studiato NextCry Ransomware, hanno scoperto che la maggior parte di esso è scritta nel linguaggio di programmazione Python. NextCry Ransomware può funzionare solo su sistemi operativi basati su UNIX, visto che l'eseguibile è ELF Binary adatto per il sistema operativo Linux. Quando NextCry Ransomware si infiltra nella sua destinazione, eseguirà la scansione dei dati e controllerà le impostazioni relative alla sincronizzazione. Successivamente, NextCry Ransomware inizia a crittografare i dati di destinazione. Successivamente, la minaccia assicurerà anche di innescare il processo di sincronizzazione. Ciò garantirebbe che anche eventuali copie di backup dei file subiscano il processo di crittografia di NextCry Ransomware. Privare l'utente della possibilità di recuperare i propri dati dal backup rende più probabile che prenderanno in considerazione il pagamento della tassa di riscatto. Quando NextCry Ransomware blocca un file, aggiunge un'estensione '.nextcry' alla fine del nome file.

Inoltre, questo brutto Trojan con crittografia dei dati codifica anche il nome dei file bloccati applicando il metodo base64. Nel messaggio di riscatto, gli aggressori affermano che vorrebbero ricevere 0,25 Bitcoin (circa $ 2,100 al momento della digitazione di questo post) come commissione di riscatto. Gli autori di NextCry Ransomware forniscono un indirizzo e-mail a cui possono essere contattati per ulteriori informazioni o istruzioni: "aksdkja0sdp@ctemplar.com".

Il servizio NextCloud ha dichiarato che il CVE-2019-11043 recentemente rilasciato per una vulnerabilità RCE (Remote Code Execution) che colpisce il software del server Web NGINX ha aiutato gli aggressori a compromettere la piattaforma.

Non è una buona idea contattare i creatori del NextCry Ransomware e non dovresti nemmeno dargli i tuoi soldi guadagnati con fatica. Assicurati di aver installato uno strumento antimalware legittimo e mantieni aggiornato il tuo software per ridurre le possibilità di diventare vittima di ransomware.