Huis » Nieuws » NextCry ransomware aanvallen NextCloud cloud storage

NextCry ransomware aanvallen NextCloud cloud storage

NextCloud gebruikers geconfronteerd met een ernstig probleem. New NextCry ransomware aanvallen NextCloud cloud storage en vernietigt opgeslagen backups. Volgens beveiligingsexperts, de malware dringt systemen door middel van een recent ontdekte kwetsbaarheid in de PHP-FPM engine.

EENbout de dreiging gerapporteerd bezoekers van de BeginnersWeb forum, die op zoek waren naar een manier om de toegang van hun gegevens terug te krijgen.

Als de gebruiker onder de bijnaam xact64 genoemde, Hij merkte een probleem tijdens de synchronisatie van de laptop met cloud storage.

Ik besefte meteen dat mijn server gehackt en die bestanden werd gecodeerd. Het eerste wat ik deed was de server naar beneden te trekken om de schade die werd gedaan beperken (enkel en alleen 50% mijn bestanden heb gecodeerd)”, - xact64 zei.

Achter zijn ogen, de juiste bestanden begon te veranderen om versleutelde kopieën. De gebruiker haastig verbroken, maar de helft van de inhoud werd geblokkeerd.

Onderzoekers die de malware bestudeerde noemde het NextCry – deze uitbreiding ontvangt versleutelde bestanden. Het programma is een Python-script gecompileerd tot een ELF uitvoerbaar bestand (dit formaat wordt gebruikt op UNIX-systemen).

Lees ook: Ransomware aangevallen twee Spaanse bedrijven: het lokale internet is in paniek als tijdens de WannaCry dagen

Eenmaal op de computer van het slachtoffer, NextCry vindt de mapsynchronisatie met NextCloud storage, verwijdert de brongegevens mappen uit de machine en versleutelt de cloud kopie. Als gevolg, betreffende bestanden worden gedownload in plaats van de oorspronkelijke, zoals bij xact64.

ransomware expert Michael Gillespie Said NextCry verwerkt slachtoffer bestanden met behulp van een AES-algoritme.

“Na voltooiing van encryptie, het programma codeert ook de inhoud met behulp van de Base64 standaard, die niet typisch voor dergelijke malware”, – merkte ook op Michael Gillespie.

Voor het ontgrendelen van bestanden, criminelen vragen 0.025 BTC. Opgemerkt wordt dat de portefeuille die door de aanvallers is nog leeg.

LEZEN  RIG exploiteren bedieners begon de ERIS coder te verdelen via het netwerk

Na onderzoek van de boodschappen van de getroffen gebruikers, BeginnersWeb deskundigen gesuggereerd dat NextCry exploiteert NextCloud's eigen kwetsbaarheid. Dit blijkt uit het feit dat de malware infecteert beschermd repositories met de nieuwste versie van de software.

Nader onderzoek liet de ontwikkelaars om de bron van de infectie te volgen om de kwetsbaarheid van de PHP-FPM engine, waarop sommige NGINX servers actief zijn. Volgens verslaggevers, aan het eind oktober, NextCloud vertegenwoordigers gewaarschuwd voor een RCE bug die aanwezig is in de basisconfiguratie van hun product. Deze oplossing is gebouwd op een kwetsbare versie van PHP-FPM.

verzachting

De ontwikkelaars zei dat de dreiging getroffen slechts een klein deel van de servers. Ze stuurden de beheerders een melding over de noodzaak om de PHP assemblage om v.7.3.11 / 7.2.24 updaten, aangezien op dit moment geen decoder voor NextCry, alleen een upgrade kan de gebruiker de gegevens te beschermen.

[Totaal: 0    Gemiddelde: 0/5]

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

Verwijder Gesd Virus Ransomware (+Bestandherstel)

Inhoudsopgave Over GesdDo geen geld voor decoderen van te verzenden “gesd” bestanden!Hoe te beschermen …

StackOverflow Java-code error

De meest gekopieerde stukje Java-code op StackOverflow bevat een fout

Het bleek dat, the most copied piece of Java code on StackOverflow contains an

Laat een antwoord achter