“NextCry Ransomware追随Linux服务器”

nextcry是一种新的威胁软件，开始与运行开源nextcloud软件所支持的分布式文件同步和共享服务的linux服务器进行比较。 杀毒引擎目前没有检测到恐吓软件。

下一步勒索软件

作为蓝牙计算机论坛的客户，xact64报告说，在恐吓软件感染了自己的下一个云服务器后，nextcry加密了一半的文件。 文件共享软件一直在用加密版本更新笔记本电脑上的文件，直到它知道发生了什么，并阻止服务器将文件发送到笔记本电脑上。

我很快就注意到服务器被黑客攻击了，那些文件被加密了。 我做的第一件事是拉动服务器限制损坏(只加密了我文件的50% )。 论坛的客户说。 该论坛的成员向知名的安全研究人员michael gillespie提供了一点文件加密，并确认使用aes-256和rsa-2048加密算法使用新的恐吓软件加密了该文件 前者用于加密文件，后者用于加密aes-256密码。

根据恶意软件提供的赎金记录:

使用强大的aes-256算法加密了文件。 将0.025 btc发送到以下电子钱包“钱包密码地址”，支付后联系“网络罪犯的电子邮件”以恢复需要加密的重要密码

勒索软件为btc 0.025 (约200美元，取决于比特币目前的价格。 根据应该收取赎金的钱包的解体，没有给网络罪犯送过任何钱。

下一个CRY怎么工作

在支持nextcloud的计算机上运行时，恶意软件会读取nextcloud服务的config.php，搜索nextcloud文件共享和同步数据目录。 恐吓软件在开始加密受害者的文件之前，会删除所有可能用于将被感染的文件恢复到以前的清洁状态的文件夹和文件。

上周，另一位客户在nextcloud支持页面上报告说，他的实例通过漏洞被劫持并被ssh帐户锁定。

只是警告。 今天我的nextcloud实例被劫持的时候，好像有什么地方很悲伤。 我的服务器已经采用了ssh密钥锁，nextcloud是最新的。 客户写了以下内容。

恐吓软件允许感染服务器的漏洞似乎已经被知道好几个星期了。 10月24日，nextcloud发出紧急警报，称运行nginx服务器的nextcloud客户容易受到远程代码执行安全漏洞的攻击。

过去全天候，nginx周边发生了新的安全风险，记录在cve-2019-11043上。 利用此漏洞，某些nginx和php-fpm配置可以远程执行代码。 如果没有运行nginx，这个使用不会影响你。

本文：《“NextCry Ransomware追随Linux服务器”》