NextCry Ransomware mã hóa tập tin trên máy chủ NextCloud Linux

Administrator
NextCry ransomware một loại phần mềm độc hại mới được phát hiện, con Ransomware này nhắm mục tiêu vào người dùng sử dụng dịch vụ chia sẻ và đồng bộ hóa tệp nền tảng Nextcloud. Loại ransomware này đổi tên các tập tin bị mã hóa với phần mở rộng bằng tên của nó. Hiện tại không có công cụ giải mã miễn phí nào cho các nạn nhân khi nhiễm NextCry. Chủng Ransomware này hiện vẫn không bị phát hiện bởi phần lớn các công cụ chống vi-rút .

NextCry_ransomware.jpg

Ransomware NextCry được biết đến khi một tài khoản người dùng NextCloud có nickname ‘xact64, thông báo trên diễn đàn Bleeping Computer . Tài khoản này đưa lên để tìm cách giải mã các tập tin.

Anh ta nói rằng dữ liệu của anh ta đã được sao lưu, quá trình đồng bộ hóa bắt đầu cập nhật dữ liệu vào máy tính xách tay của anh kèm với phiên bản sao lưu bị mã hóa trên máy chủ. Lúc này anh phát hiện ra một số tệp tin của mình đã bị đổi tên thành NextCry.

Theo Bleeping Computer, ransomware NextCry viết bằng Python được biên dịch trong tệp nhị phân Linux ELF bằng pyInstaller. NextCry sử dụng thuật toán Base64 để mã hóa tên tệp. Trong thời điểm Bleeping Computer viết bài viết này thì chưa có phần mềm diệt Virus nào phát hiện ra nó

NextCry-Undetect.png

Sau khi lây nhiễm vào hệ thống đầu tiên NextCry sẽ tìm kiếm thư mục chia sẻ và đồng bộ hóa dữ liệu nạn nhân Nextcloud bằng cách đọc tệp config.php. Sau đó, nó xóa những thư mục có thể được sử dụng để khôi phục và mã hóa tất cả các dữ liệu.

NextCry khai thác lỗ hổng PHP-FPM
NextCloud đã xác nhận rằng Nextcry ransomware khai thác lỗ hổng NGINX + php-fpm gần đây. Lỗ hổng này nằm ở chính PHP-FPM chứ k phải là NGINX. Vì vậy cách giải quyết đơn giản và đảm bảo hiệu quả là nâng cấp bản vá hoặc cập nhật version PHP lên PHP 7.1.33, PHP 7.2.24 hoặc PHP 7.3.11. NextCloud đã cảnh báo về lỗ hổng thực thi mã từ xa ảnh hưởng đến cấu hình mặc định sử dụng NGINX Nextcloud.

NextCry yêu cầu tiền chuộc BTC 0,025 (khoảng $ 210) để giải mã các tệp được mã hóa.

NextCry_RansomNote.png

ảnh: Bleeping Computer

Làm thế nào để phòng tránh Ransomware NextCry?
Hiện tại chưa có công cụ giải mã miễn phí nào được cung cấp cho các nạn nhân NextCry. Với những người sử dụng dịch vụ NextCloud có thể khắc phục lỗ hổng bằng cách cập nhật các gói PHP và cấu hình NGINX của họ.
Bạn có thể tự bảo vệ hệ thống của mình bằng cách cập nhật phiên bản PHP lên PHP 7.3.11 hoặc PHP 7.2.24 (tùy thuộc vào nền tảng bạn sử dụng).
Đinh Quang Vinh tham khảo Bleeping Computer
 
Sửa lần cuối bởi điều hành viên:
Trả lời

haivu

Administrator
Thành viên BQT
Cha, tay này dùng cả bkav và cmc luôn.
 

VNZ-WAD

Rìu Bạc Đôi
Xem và check thường xuyên các bản và của php, tạm thời là vậy