Linux-Ransomware: NextCry verschlüsselt Daten im Cloudspeicher von Nextcloud

21. November, 2019

Neue Ransomware-Kampagne in the Wild hat es auf Nextcloud-Installationen abgesehen

Das erste, was der Trojaner nach dem Ausführen macht, ist im config.php gezielt nach dem Nextcloud Fileshare und Sync Data Directory zu suchen, berichtete Bleeping Computer. Die Dateien werden verschlüsselt und mit der Datei-Erweiterung NEXTCRY versehen, eine Lösegeldforderung benennt 0,025 Bitcoins, ein Wallet und eine E-Mail-Adresse.

Im Gegensatz zu den meisten bekannten Ransomware-Kampagnen, die eine breite Masse an Opfern (und damit Lösegeldern) erreichen wollen, sucht sich NextCry seine Opfer also ganz gezielt unter den Usern einer bestimmten Plattform aus. Einmal im System angekommen, verschlüsselt er die Daten im Data Directory mit einem intakten AES Algorithmus mit 256-bit Key und löscht Dateien, die bei der Wiederherstellung helfen könnten. Einen Decrypter gibt es bislang nicht.

Die bisher bekannt gewordenen Infektionen sind erst einige Tage alt, größere Angriffswellen könnten folgen. Nextcloud-Serveradmins sollten schleunigst die vor einigen Wochen bekannt gewordene Schwachstelle CVE-2019-11043, die bei PHP-Anwendungen im Zusammenspiel mit NGINX auftritt, absichern. Sie scheint das Einfallstor für NextCry zu bilden. Nextcloud hatte bereits vor den ersten Angriffen über diese Sicherheitslücke informiert und damit vielleicht verhindert, dass sich der Trojaner weiter ausbreiten konnte.

„Das Schwierige an dieser Malware ist, dass man als User fast machtlos ist, da das Problem serverseitig bei den Hostern liegt“, so Security-Spezialist Benjamin Paar: „Ich empfehle allen NutzerInnen daher dringend, ein valides, aktuelles Offline-Backup anzulegen – sonst könnte es beim automatischen Synchronisieren mit der Cloud passieren, dass die gesicherten Dateien mit den verschlüsselten überschrieben werden.“

Image
Online-Shopping bequem von zu Hause ausjustynafaliszek auf Pixabay
Emotet
artificial-intelligence
iPhone 5
A1 E-Mail-screenshot
Image
Image
Das österreichische Team nach dem ECSC 2019 mit Urkunde und Bronze-Medaillen
Schematische Darstellung des IKARUS managed.defense-Services, um das Zusammenspiel der Unternehmen und Produkte zu verdeutlichenIKARUS
Die Siegerteams der Austrian Cyber Security Challenge auf der IKT-Bühne
ECSMLogo

Wir freuen uns auf Sie!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 (0) 1 58995-0
Fax: +43 (0) 1 58995-100
Sales Hotline: +43 (0) 1 58995-500

SUPPORT-HOTLINE

Support-Hotline:
+43 (0) 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr

Fernwartung:
TeamViewer Download
AnyDesk Download