NextCry Ransomware
Ransomware-Bedrohungen dringen normalerweise in einen Computer ein und stellen sicher, dass alle vorhandenen Daten gesperrt sind, bevor sie versuchen, das Opfer zur Zahlung einer Lösegeldgebühr zu erpressen. Einige Autoren von Ransomware-Bedrohungen sind jedoch kreativer. Eine der neuesten Bedrohungen heißt NextCry Ransomware. Anstatt auf Computer abzuzielen, sucht die NextCry Ransomware nach einem Dateifreigabedienst namens NextCloud. Der NextCloud-Dienst ist sowohl bei regulären Benutzern als auch bei kleinen und großen Unternehmen beliebt. Benutzer der NextCloud-Plattform wurden von den Cyber-Betrügern hinter der NextCry Ransomware angesprochen, und die Daten der Opfer wurden verschlüsselt.
Verschlüsselung und Synchronisation
Als Cybersicherheitsexperten die NextCry Ransomware studierten, stellten sie fest, dass das meiste davon in der Programmiersprache Python geschrieben ist. Die NextCry Ransomware kann nur auf UNIX-basierten Betriebssystemen ausgeführt werden, da die ausführbare Datei ELF Binary für das Linux-Betriebssystem ist. Wenn die NextCry Ransomware ihr Ziel infiltriert, scannt sie die Daten und überprüft die Einstellungen in Bezug auf die Synchronisierung. Als Nächstes beginnt die NextCry Ransomware mit der Verschlüsselung der Zieldaten. Danach wird durch die Bedrohung auch sichergestellt, dass der Synchronisierungsvorgang ausgelöst wird. Dies würde sicherstellen, dass alle Sicherungskopien der Dateien auch den Verschlüsselungsprozess der NextCry Ransomware durchlaufen. Wenn dem Benutzer die Möglichkeit genommen wird, seine Daten aus der Sicherung abzurufen, ist es wahrscheinlicher, dass er die Lösegeldgebühr zahlen wird. Wenn die NextCry Ransomware eine Datei sperrt, wird am Ende des Dateinamens die Erweiterung ".nextcry" angehängt.
Darüber hinaus verschlüsselt dieser böse datenverschlüsselnde Trojaner auch den Namen der gesperrten Dateien, indem er die base64-Methode anwendet. In der Lösegeldnachricht geben die Angreifer an, dass sie 0,25 Bitcoin (ca. 2.100 US-Dollar zum Zeitpunkt des Schreibens dieses Beitrags) als Lösegeld erhalten möchten. Die Autoren der NextCry Ransomware geben eine E-Mail-Adresse an, unter der sie für weitere Informationen oder Anweisungen kontaktiert werden können: "aksdkja0sdp@ctemplar.com".
Der NextCloud-Dienst gab an, dass die kürzlich veröffentlichte CVE-2019-11043 für eine RCE-Sicherheitsanfälligkeit (Remote Code Execution), die sich auf die NGINX-Webserversoftware auswirkt, die Angreifer bei der Beeinträchtigung der Plattform unterstützt hat.
Es ist keine gute Idee, sich mit den Entwicklern der NextCry Ransomware in Verbindung zu setzen, und Sie sollten ihnen auch nicht Ihr hart verdientes Geld geben. Stellen Sie sicher, dass Sie ein legitimes Anti-Malware-Tool installiert haben, und halten Sie Ihre Software auf dem neuesten Stand, um die Wahrscheinlichkeit zu verringern, Opfer von Ransomware zu werden.
