Casa » Noticias » NextCry ransomware ataques de almacenamiento NextCloud nube

NextCry ransomware ataques de almacenamiento NextCloud nube

NextCloud usuarios se enfrentaron a un problema grave. Nueva NextCry ransomware ataques NextCloud almacenamiento en la nube y destruye guarda copias de seguridad. De acuerdo con los expertos en seguridad, los sistemas penetra malware a través de una vulnerabilidad recientemente descubierta en el motor de PHP-FPM.

UNAcombate la amenaza reportado visitantes del foro BleepingComputer que estaban buscando una manera de recuperar el acceso de sus datos.

Como dijo el usuario bajo el xact64 apodo, se dio cuenta de un problema durante la sincronización de la computadora portátil con almacenamiento en la nube.

Me di cuenta de inmediato que mi servidor han pirateado y los ficheros han sido cifrada. Lo primero que hice fue tirar hacia abajo el servidor para limitar el daño que se está haciendo (solamente 50% de mis archivos han sido cifrados)”, - dijo xact64.

Detrás de sus ojos, los archivos correctos comenzó a cambiar a las copias cifradas. El usuario apresuradamente desconectado, pero la mitad del contenido fue bloqueado.

Los investigadores que estudiaron el malware llamaron NextCry – esta extensión recibe archivos cifrados. El programa es una secuencia de comandos de Python compilado en un archivo ejecutable ELF (Este formato se utiliza en sistemas UNIX).

leer también: Ransomware atacó a dos empresas españolas: Internet local es presa del pánico como durante los días WannaCry

Una vez en el ordenador de la víctima, NextCry encuentra la carpeta de sincronización con el almacenamiento NextCloud, elimina las carpetas de datos de origen de la máquina y cifra la copia nube. Como resultado, archivos afectados se descargan en lugar de los originales, como en el caso de xact64.

experto ransomware Michael Gillespie Said NextCry procesa los archivos de la víctima utilizando un algoritmo AES.

“Al término de cifrado, El programa también codifica el contenido con el estándar Base64, que no es típico de este tipo de malware”, – También se señaló Michael Gillespie.

Para los archivos de desbloqueo, criminales piden 0.025 BTC. Se observa que la cartera especificado por los atacantes todavía está vacío.

LEER  Retire .LotR virus ransomware (+Recuperación de archivo)

Después de examinar los mensajes de los usuarios afectados, BleepingComputer expertos sugirieron que NextCry explota la vulnerabilidad propia de NextCloud. Esto se evidencia por el hecho de que los infecta de malware protegidos repositorios con la última versión del software.

La posterior investigación permitió a los desarrolladores para rastrear el origen de la infección a la vulnerabilidad del motor de PHP-FPM, en la que algunos servidores están ejecutando NGINX. De acuerdo con la prensa, a finales del mes de octubre, representantes NextCloud advirtieron de un error de RCE que está presente en la configuración básica de su producto. Esta solución se basa en una versión vulnerable de PHP-FPM.

Mitigación

Los desarrolladores dijeron que la amenaza afectada sólo una pequeña fracción de los servidores. Enviaron a los administradores una notificación acerca de la necesidad de actualizar el ensamblaje de PHP a v.7.3.11 / 7.2.24, dado que por el momento no hay decodificador para NextCry, Sólo una actualización puede proteger los datos del usuario.

[Total:0    Promedio:0/5]

Acerca de Trojan Killer

Trojan Killer llevar portátil en su dispositivo de memoria. Asegúrese de que usted es capaz de ayudar a su PC resistir cualquier amenaza cibernética donde quiera que vaya.

también puedes ver

Retire GESD virus ransomware (+Recuperación de archivo)

Tabla de contenidos Acerca del GesdDo NO enviar dinero para descifrar de “GESD” archivos!Cómo proteger …

Error de código Java Stackoverflow

La pieza más copiado del código de Java en StackOverflow contiene un error

Como se vio despues, the most copied piece of Java code on StackOverflow contains an

Deja una respuesta