NextCry: новая программа-вымогатель, шифрующая файлы Nextcloud

Программы-вымогатели представляли собой серьезную угрозу для предприятий всех форм и размеров, а также для отдельных лиц на протяжении почти двух десятилетий. Согласно отчету Cybersecurity Ventures, ущерб от программ-вымогателей только в 2018 году должен был превысить 8 миллиардов долларов. В последние годы мы стали свидетелями нескольких самых смертоносных атак программ-вымогателей, таких как WannaCry, NotPetya, TeslaCrypt, SimpleLocker и других. Недавно появилась новая программа-вымогатель, известная как NextCry, влияющая на программное обеспечение для обмена файлами Nextcloud. Программа-вымогатель получила свое название от расширения, которое она добавляет к именам зашифрованных файлов. Nextcloud — одна из наиболее широко используемых платформ для обмена файлами и совместной работы на базе серверов Linux.

Недавние инциденты

Участник форума Bleeping Computer по имени xact64 сообщил, что половина его файлов Nextcloud были зашифрованы NextCry после того, как его сервер Nextcloud был атакован программой-вымогателем. Пользователь заявил, что Nextcloud продолжает обновлять его файлы зашифрованными версиями. Осознав это, он остановил сервер от отправки файлов на его ноутбук, чтобы предотвратить шифрование большего количества данных.

Участник форума обратился за помощью к другим, чтобы расшифровать его файлы. Он также предоставил некоторые из зашифрованных файлов Майклу Гиллеспи, известному эксперту-исследователю в области безопасности, который подтвердил, что файлы были зашифрованы с помощью новой программы-вымогателя, использующей AES-256 и RSA-2048 для шифрования пароля AES-256. Программа-вымогатель также использует алгоритм Base64 для кодирования имен файлов, что делает их недоступными для отслеживания.

[tg_youtube video_id="AnvmHFnVR6o"]

Вместе с зашифрованными файлами была также заметка о программе-вымогателе, в которой говорилось:

Поскольку эта атака была направлена на данные отдельного пользователя, злоумышленники потребовали относительно небольшую сумму в 0,025 в биткойнах, что составляет около 200 долларов США, в зависимости от текущей стоимости биткойнов. Однако анализ кошелька хакера подтвердил, что выкуп злоумышленникам пока не высылался.

Вскоре другой пользователь Nextcloud по имени Алекс опубликовал на платформе Nextcloud сообщение о том, что он пострадал от программы-вымогателя NextCry. Пользователь заявил, что доступ к его экземпляру заблокирован через SSH, на котором установлена последняя версия Nextcloud. Пользователь также сообщил, что все его файлы были зашифрованы через инстанс. К счастью, у пользователя было все резервное копирование.

NextCry: как это работает

Во-первых, NextCry в основном работает так же, как и любая другая атака программ-вымогателей. Каким-то образом он распространяется на компьютеры пользователей и шифрует файлы. А чтобы пользователь или предприятие могли расшифровать файлы, им необходимо заплатить злоумышленникам определенный выкуп, чтобы получить ключ для расшифровки.

Согласно Bleeping Computer, NextCry написан на Python и скомпилирован в двоичный файл Linux ELF с использованием pyInstaller, что делает Linux-машины его основной целью.

NextCry распространяется и выполняется на компьютерах с поддержкой Nextcloud. Вредоносное ПО читает config.php Nextcloud, чтобы узнать каталог данных. Вредоносное ПО сначала удаляет все резервные файлы и папки, которые могут восстановить зараженные файлы. После этого вредоносная программа начинает шифровать файлы жертвы.

Уязвимость, ведущая к атаке программы-вымогателя NextCry, кажется, известна Nextcloud уже несколько недель. Компания развернула экстренное оповещение для всех своих пользователей о том, что пользователи Nextcloud, использующие серверы NGINX, уязвимы для удаленного выполнения кода. Компания также перечислила необходимые шаги, чтобы обезопасить себя от этой уязвимости.

Оставаться в безопасности

Nextcloud предложил своим пользователям, использующим серверы NGINX, обновить свои пакеты PHP до последней версии. Компания также перечислила несколько исходных пакетов PHP с исправлением этой уязвимости. Также было предложено обновить конфигурационный файл NGINX, поскольку это основной файл, содержащий все местоположения адресов и детали конфигурации файловой системы, а также обновить сегмент местоположения в конфигурационном файле с последующим перезапуском веб-сервера.

В настоящее время нет доступной стратегии или метода дешифрования, чтобы помочь жертвам NextCry. Более того, поскольку это вредоносное ПО остается незамеченным большинством антивирусных программ и инструментов, оно может легко обойти проверки безопасности любой компании.

Каждый человек и организация должны быть очень осторожны, когда речь идет о защите их данных. Даже небольшая небрежность или неправильная конфигурация могут привести к разрушительной кибератаке, такой как программа-вымогатель. Хотя нарушения безопасности неизбежны, рекомендуется всегда иметь резервную копию важных данных.