NextCry Ransomware

As ameaças de ransomware geralmente se infiltram em um computador e bloqueiam todos os dados presentes antes que eles tentem chantagear a vítima para pagar uma taxa de resgate. No entanto, alguns autores de ameaças de ransomware são mais criativos. Uma das mais recentes ameaças detectadas é chamada NextCry Ransomware. Em vez de direcionar computadores, o NextCry Ransomware segue um serviço de compartilhamento de arquivos chamado NextCloud. O serviço NextCloud é popular entre usuários regulares e pequenas e grandes empresas. Os usuários da plataforma NextCloud foram alvo dos cibercriminosos por trás do NextCry Ransomware, e as vítimas tiveram seus dados criptografados.

Criptografia e Sincronização

Quando os especialistas em segurança cibernética estudaram o NextCry Ransomware, descobriram que a maior parte dele é escrita na linguagem de programação Python. O NextCry Ransomware pode operar apenas em sistemas operacionais baseados em UNIX, visto que o executável é o ELF Binário adequado para o sistema operacional Linux. Quando o NextCry Ransomware se infiltra em seu destino, ele verifica os dados e verifica as configurações em relação à sincronização. Em seguida, o NextCry Ransomware começa a criptografar os dados de destino. Depois disso, a ameaça também garantirá o acionamento do processo de sincronização. Isso garantiria que quaisquer cópias de backup dos arquivos também passariam pelo processo de criptografia do NextCry Ransomware. Privar o usuário da chance de recuperar seus dados do backup aumenta a probabilidade de eles considerarem pagar a taxa de resgate. Quando o NextCry Ransomware bloqueia um arquivo, ele adiciona uma extensão '.nextcry' no final do nome do arquivo.

Além disso, esse Trojan desagradável de criptografia de dados também codifica o nome dos arquivos bloqueados aplicando o método base64. Na mensagem de resgate, os atacantes afirmam que gostariam de receber 0,25 Bitcoin (aproximadamente US $2.100 no momento da digitação desta postagem) como uma taxa de resgate. Os autores do NextCry Ransomware fornecem um endereço de e-mail onde podem ser contatados para obter mais informações ou instruções - 'aksdkja0sdp@ctemplar.com'.

O serviço NextCloud afirmou que o CVE-2019-11043, lançado recentemente, para uma vulnerabilidade RCE (Execução Remota de Código) que afeta o software do servidor Web NGINX, ajudou os invasores a comprometer a plataforma.

Não é uma boa ideia entrar em contato com os criadores do NextCry Ransomware, e você também não deve dar a eles seu dinheiro suado. Verifique se você instalou uma ferramenta anti-malware legítima e mantenha seu software atualizado para diminuir as chances de se tornar vítima de ransomware.