NextCRy, il nuovo ransomware che colpisce NextCloud

18/11/2019

NextCry ransomware


Rilevato nei giorni scorsi, il nuovo ransomware denominato NextCry ha come target i client del software di sincronizzazione e condivisione file NextCloud. Il malware prende il nome dall’estensione (.NEXTCRY) che aggiunge ai file che cifra. Come tutti i ransomware, una volta cifrati i dati memorizzati nel sistema richiede un riscatto. Secondo i ricercatori di BleepingComputer, NextCry è uno script Python compilato in un binario ELF Linux usando pyInstaller.

Dopo l’esecuzione, il ransomware trova la condivisione file NextCloud dell’utente e sincronizza la directory dei dati leggendo il file config.php del servizio. Una volta trovato, elimina le cartelle che possono essere utilizzate per ripristinare i file e cifra tutto il contenuto della directory.

 

Dopo la cifratura, all’utente appare un file denominato “READ_FOR_DECRYPT“ contenente un messaggio che notifica l’avvenuta cifratura di tutti i file tramite algoritmo AES con una chiave a 256 bit. (quest’ultima è cifrata con una chiave pubblica RSA-2048 incorporata nel codice malware).

 

Come sempre, il malware può essere veicolato tramite un software legittimo, ad esempio nei pop-up che consigliano agli utenti di implementare alcuni importanti aggiornamenti software o tramite la classica e-mail di phishing che invita l’utente a cliccare su un link o aprire un allegato.

Conclusioni

Il malware, attualmente, non viene rilevato dai programmi per la protezione dei virus. Come per le precedenti campagne analizzate il CERT-PA consiglia di:

  • non cliccare su alcun link o aprire allegati per verificare le affermazioni del mittente;
  • non procede con il pagamento del riscatto;
  • nel caso di compromissione della propria postazione consultare il sito No More Ransom;
  • non utilizzare mai la stessa password per i diversi account;
  • utilizzare password robuste e cambiarle con una certa frequenza.