Linux-Ransomware: NextCry verschlüsselt Daten im Cloudspeicher von Nextcloud

21. November, 2019

Neue Ransomware-Kampagne in the Wild hat es auf Nextcloud-Installationen abgesehen

Das erste, was der Trojaner nach dem Ausführen macht, ist im config.php gezielt nach dem Nextcloud Fileshare und Sync Data Directory zu suchen, berichtete Bleeping Computer. Die Dateien werden verschlüsselt und mit der Datei-Erweiterung NEXTCRY versehen, eine Lösegeldforderung benennt 0,025 Bitcoins, ein Wallet und eine E-Mail-Adresse.

Im Gegensatz zu den meisten bekannten Ransomware-Kampagnen, die eine breite Masse an Opfern (und damit Lösegeldern) erreichen wollen, sucht sich NextCry seine Opfer also ganz gezielt unter den Usern einer bestimmten Plattform aus. Einmal im System angekommen, verschlüsselt er die Daten im Data Directory mit einem intakten AES Algorithmus mit 256-bit Key und löscht Dateien, die bei der Wiederherstellung helfen könnten. Einen Decrypter gibt es bislang nicht.

Die bisher bekannt gewordenen Infektionen sind erst einige Tage alt, größere Angriffswellen könnten folgen. Nextcloud-Serveradmins sollten schleunigst die vor einigen Wochen bekannt gewordene Schwachstelle CVE-2019-11043, die bei PHP-Anwendungen im Zusammenspiel mit NGINX auftritt, absichern. Sie scheint das Einfallstor für NextCry zu bilden. Nextcloud hatte bereits vor den ersten Angriffen über diese Sicherheitslücke informiert und damit vielleicht verhindert, dass sich der Trojaner weiter ausbreiten konnte.

„Das Schwierige an dieser Malware ist, dass man als User fast machtlos ist, da das Problem serverseitig bei den Hostern liegt“, so Security-Spezialist Benjamin Paar: „Ich empfehle allen NutzerInnen daher dringend, ein valides, aktuelles Offline-Backup anzulegen – sonst könnte es beim automatischen Synchronisieren mit der Cloud passieren, dass die gesicherten Dateien mit den verschlüsselten überschrieben werden.“

Microsoft Outlook Exploit
Tiktok-Verbot auf Diensthandys
OSINT-Tools
Bedrohungserkennung in Echtzeit
Ransom-(D)DoS-Angriffe
Virus-Glaskugel
Password Spraying
insider threat
ein verlassener Tisch und Sessel mit geschlossenem Laptop, darauf eine Brille und daneben eine Maus
secure online gaming
Security
Cyber Security Awareness
Markus Riegler
Gerd Altmann / Pixabay

API-Sicherheit optimieren

destroy

Wiper-Malware

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 (0) 1 58995-0
Sales Hotline: +43 (0) 1 58995-500

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 (0) 1 58995-400

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr

Fernwartung:
AnyDesk Download