NextCry jest nowym ransomware, które zostało skierowane na serwery Linuksowe obsługujące zdecentralizowaną synchronizację plików i współdzielenie usług zasilanych przez oprogramowanie NextCloud o otwartym kodzie źródłowym. Oprogramowanie okupanta nie jest obecnie wykrywane przez silniki antywirusowe. Użytkownik forum BleepingComputer xact64 zgłosił, że połowa jego plików została zaszyfrowana przez NextCry po tym, jak okupant zainfekował serwer NextCloud.
NextCry
Oprogramowanie do udostępniania plików kontynuowało aktualizację plików na jego laptopie w wersji zaszyfrowanej, aż do momentu, gdy zdał sobie sprawę z tego, co się dzieje i powstrzymał serwer przed wysyłaniem plików do swojego laptopa.
Od razu zdałem sobie sprawę, że mój serwer został zhakowany i te pliki zostały zaszyfrowane. Pierwszą rzeczą, którą zrobiłem, było wyciągnięcie serwera, aby ograniczyć szkody. Dzięki temu tylko 50% moich plików zostało zaszyfrowanych.
— napisał użytkownik forum.
Zobacz też: Podczas Tianfu Cup chińscy hakerzy obnażyli słabości popularnych aplikacji
Członek forum przekazał niektóre ze swoich zaszyfrowanych plików Michaelowi Gillespie, znanemu badaczowi bezpieczeństwa. Ten potwierdził, że pliki te zostały zaszyfrowane przy użyciu nowych algorytmów szyfrowania AES-256 i RSA-2048. Pierwszy z nich służył do szyfrowania plików, a drugi do szyfrowania hasła AES-256. Ransomware wymaga BTC 0,025, czyli około 200 dolarów. Analiza portfela, który miał otrzymać ten okup, wykazała, że nikt jeszcze nie wysłał cyberprzestępcom żadnych pieniędzy. Należy także pamiętać, że spełnienie żądań wcale nie musi oznaczać odzyskania naszych plików. Mamy w końcu do czynienia z przestępcą. Naiwnym byłoby oczekiwanie od kogoś takiego wywiązania się z umowy.
Źródło: Tomshardware