„NextCry Ransomware“

„Ransomware“ grėsmės paprastai patenka į kompiuterį ir, prieš bandant šantažuoti auką, norint sumokėti išpirkos mokestį, užrakinkite visus esančius duomenis. Tačiau kai kurie išpirkos programų grėsmių autoriai yra kūrybingesni. Viena iš naujausių pastebėtų grėsmių vadinama „NextCry Ransomware“. Užuot taikę kompiuterius, „NextCry Ransomware“ eina po failų bendrinimo paslauga, vadinama „NextCloud“. „NextCloud“ paslauga yra populiari tiek tarp nuolatinių vartotojų, tiek mažų ir didelių įmonių. „NextCloud“ platformos vartotojus nukreipė kibernetiniai sukčiai už „NextCry Ransomware“, o aukų duomenys buvo užšifruoti.

Šifravimas ir sinchronizavimas

Kai kibernetinio saugumo ekspertai tyrė „NextCry Ransomware“, jie nustatė, kad didžioji jo dalis parašyta „Python“ programavimo kalba. „NextCry Ransomware“ gali veikti tik tose operacinėse sistemose, kurios pagrįstos UNIX, matant, kad vykdomasis yra ELF dvejetainis, tinkantis „Linux“ OS. Kai „NextCry Ransomware“ įsiskverbs į savo tikslą, jis nuskaitys duomenis ir patikrins sinchronizacijos nustatymus. Tada „NextCry Ransomware“ pradeda šifruoti tikslinius duomenis. Po to grėsmė taip pat būtinai suaktyvins sinchronizacijos procesą. Tai užtikrintų, kad visos atsarginės failų kopijos taip pat bus šifruotos „NextCry Ransomware“. Jei vartotojui nesuteikiama galimybė nuskaityti savo duomenis iš atsarginės kopijos, tampa didesnė tikimybė, kad jie svarstys sumokėti išpirkos mokestį. Kai „NextCry Ransomware“ užrakina failą, failo pavadinimo pabaigoje pridedamas „.nextcry“ plėtinys.

Be to, šis bjaurus duomenis užšifruojantis Trojos arklys taip pat užkoduoja užrakintų failų pavadinimus, naudodamas „base64“ metodą. Išpirkos pranešime užpuolikai teigia, kad jie norėtų gauti 0,25 „Bitcoin“ (maždaug 2 100 USD įvesdami šį įrašą) kaip išpirkos mokestį. „NextCry Ransomware“ autoriai pateikia el. Pašto adresą, kur su jais galima susisiekti, jei reikia papildomos informacijos ar instrukcijų - „aksdkja0sdp@ctemplar.com“.

„NextCloud“ tarnyba pareiškė, kad neseniai išleistas CVE-2019-11043 dėl RCE (Remote Code Execution) pažeidžiamumo, turinčio įtakos NGINX žiniatinklio serverio programinei įrangai, padėjo užpuolikams pakenkti platformai.

Nederėtų susisiekti su „NextCry Ransomware“ kūrėjais, be to, neturėtumėte atiduoti jiems sunkiai uždirbtų pinigų. Įsitikinkite, kad įdiegėte teisėtą apsaugos nuo kenkėjiškų programų įrankį ir nuolat atnaujinkite savo programinę įrangą, kad sumažintumėte tikimybę tapti išpirkos programų auka.