NextCry Ransomware

Ransomware-bedreigingen sluipen meestal een computer binnen en zorgen ervoor dat alle aanwezige gegevens worden vergrendeld voordat ze proberen het slachtoffer te chanteren om een losgeld te betalen. Sommige auteurs van ransomware-bedreigingen zijn echter creatiever. Een van de nieuwste gevlekte bedreigingen heet NextCry Ransomware. In plaats van gericht op computers, gaat de NextCry Ransomware achter een service voor het delen van bestanden met de naam NextCloud aan. De NextCloud-service is populair bij zowel reguliere gebruikers als kleine en grote bedrijven. Gebruikers van het NextCloud-platform zijn het doelwit van cybercriminelen achter de NextCry Ransomware en slachtoffers hebben hun gegevens versleuteld.

Versleuteling en synchronisatie

Toen cybersecurity-experts de NextCry Ransomware bestudeerden, ontdekten ze dat het meeste in de programmeertaal Python is geschreven. De NextCry Ransomware kan alleen werken op besturingssystemen die op UNIX zijn gebaseerd, aangezien het uitvoerbare bestand ELF Binary is dat geschikt is voor het Linux-besturingssysteem. Wanneer de NextCry Ransomware zijn doel infiltreert, scant hij de gegevens en controleert hij de instellingen met betrekking tot synchronisatie. Vervolgens begint de NextCry Ransomware de beoogde gegevens te coderen. Hierna zorgt de dreiging er ook voor dat het synchronisatieproces wordt geactiveerd. Dit zou ervoor zorgen dat back-upkopieën van de bestanden ook het coderingsproces van de NextCry Ransomware ondergaan. Als de gebruiker de kans wordt ontnomen om zijn gegevens uit de back-up op te halen, is de kans groter dat hij zal overwegen het losgeld te betalen. Wanneer de NextCry Ransomware een bestand vergrendelt, wordt aan het einde van de bestandsnaam een extensie '.nextcry' toegevoegd.

Bovendien codeert deze vervelende data-coderende Trojan ook de naam van de vergrendelde bestanden door de base64-methode toe te passen. In het losgeldbericht geven de aanvallers aan dat ze 0,25 Bitcoin willen ontvangen (ongeveer $ 2.100 op het moment van typen van dit bericht) als losgeld. De auteurs van de NextCry Ransomware geven een e-mailadres op waar contact met hen kan worden opgenomen voor meer informatie of instructies - 'aksdkja0sdp@ctemplar.com'.

De NextCloud-service verklaarde dat de onlangs uitgebrachte CVE-2019-11043 voor een RCE (Remote Code Execution) -kwetsbaarheid die de NGINX-webserversoftware beïnvloedt, de aanvallers heeft geholpen het platform te compromitteren.

Het is geen goed idee om contact op te nemen met de makers van de NextCry Ransomware, en u moet hen zeker ook niet uw zuurverdiende geld geven. Zorg ervoor dat u een legitiem anti-malwarehulpprogramma hebt geïnstalleerd en houd uw software up-to-date om de kans te verkleinen dat u het slachtoffer wordt van ransomware.