NextCry Ransomware

Ransomware-hot smyger vanligtvis in i en dator och se till att låsa all information som finns innan de försöker utpressa offret till att betala en lösenavgift. Vissa författare till ransomware-hot är emellertid mer kreativa. Ett av de senaste hotade hoten kallas NextCry Ransomware. Istället för att rikta in sig på datorer går NextCry Ransomware efter en fildelningstjänst som heter NextCloud. NextCloud-tjänsten är populär både bland vanliga användare och små och stora företag. Användare av NextCloud-plattformen har riktats av cyber-skurkarna bakom NextCry Ransomware, och offer har fått sina data krypterade.

Kryptering och synkronisering

När cybersecurity-experter studerade NextCry Ransomware, fann de att det mesta är skrivet på Python-programmeringsspråket. NextCry Ransomware kan bara fungera på operativsystem, som är UNIX-baserade, eftersom den körbara är ELF Binary som passar för Linux OS. När NextCry Ransomware infiltrerar sitt mål kommer den att skanna data och kontrollera inställningarna med avseende på synkronisering. Därefter börjar NextCry Ransomware att kryptera riktade data. Efter detta kommer hotet också att se till att trigga synkroniseringsprocessen. Detta skulle säkerställa att alla säkerhetskopior av filerna också kommer att genomgå krypteringsprocessen för NextCry Ransomware. Att beröva användaren en chans att hämta sina data från säkerhetskopian gör det mer troligt att de kommer att överväga att betala lösenavgiften. När NextCry Ransomware låser en fil lägger den till ett ".nextcry" -tillägg i slutet av filnamnet.

Dessutom kodar denna otäcka datakrypterande Trojan också namnet på de låsta filerna genom att använda bas64-metoden. I lösenmeddelandet uppger angriparna att de skulle vilja ta emot 0,25 Bitcoin (ungefär 2 100 $ vid tidpunkten för att skriva detta inlägg) som en lösenavgift. Författarna till NextCry Ransomware ger en e-postadress där de kan kontaktas för mer information eller instruktioner - 'aksdkja0sdp@ctemplar.com.'

NextCloud-tjänsten uppgav att den nyligen släppta CVE-2019-11043 för en RCE (Remote Code Execution) -sårbarhet som påverkar NGINX webbserverprogramvara hjälpte angriparna att kompromissa med plattformen.

Det är inte bra att kontakta skaparna av NextCry Ransomware, och du bör heller inte ge dem dina hårt förvärvade pengar. Se till att du har installerat ett legitimt anti-malware-verktyg och håll din programvara uppdaterad för att minska risken för att bli ett offer för ransomware.