NextCry Fidye Yazılımı Hedefleri NextCloud Linux Sunucuları ve Tespit Edilemiyor.

Yeni ve özellikle sorunlu bir ransomware varyantı, vahşi internet ortamında tanımlanmıştır.  NextCry, bu fidye yazılımın bu zorlu türü, NextCloud Linux sunucularındaki verileri şifreliyor ve halka açık tarama platformlarında ve antivirüs motorlarının tespitinden kaçınmayı başarıyor. Sorunu daha kötü hale getirmek için söyleyelim, şu anda mağdurlar için ücretsiz bir şifre çözme aracı bulunmamaktadır.

Ransomware avcısı ve yaratıcısı kimliği Ransomware   Michael Gillespie   Linux’ta pyInstaller kullanarak ELF binary ile derlenmiş bir Python script NextCry fidye  , garip bir şekilde, zaten şifrelenmiş dosyaların içeriğini ve dosya adlarını kodlamak için Base64 kullanıyor. Gillespie, NextCry’nin AES algoritmasını kullanarak verileri 256 bit anahtarla şifrelendiğini de doğruladı.

Fidye notu NextCry kurbanları  “‘READ_FOR_DECRYPT’okumaları ve bir kurbanın dosyaların kilidi için 0.025 BTC talep etmektedir.

Bir NextCloud kullanıcısı olan xact64, bir NextCry saldırısında anında kilitlenen kişisel dosyaların şifresini çözmenin bir yolunu bulmak amacıyla bir  deneyimini  Bleeping Computer forumunda paylaştı : “Hemen sunucumun saldırıya uğradığını ve bu dosyaların şifrelendiğini gördüm. “Yaptığım ilk şey, yapılan zararı sınırlandırmak için sunucunun fişini çekmek oldu (dosyalarımın yalnızca% 50’si şifrelendi.”) “ Kendi Linux sunucum var (eski bir ince istemciye ikinci bir hayat verdim) ) NGINX ters proxy ile ”.

Bu ifade, bilgisayar korsanlarının kendi sistemlerine nasıl erişebilecekleri hakkında fikir veriyor. 24 Ekim’de, NextCloud, sunucuları varsayılan Nextcloud NGINX yapılandırmasıyla tehlikeye atmak için kullanılmış bir uzaktan kod yürütme güvenlik açığı ( CVE-2019-11043) ortaya çıkardı .

NextCloud, yöneticilerin NextCry saldırılarına karşı korumak için PHP paketlerini ve NGINX yapılandırma dosyalarını en son sürüme yükseltmelerini önerir.

Kaynak: LinuxSecurity.com