(fonte CERT-PA)
Rilevato nei giorni scorsi, un nuovo ransomware denominato NextCry ha come target i client del software di sincronizzazione e condivisione file NextCloud. Il malware prende il nome dall’estensione (.NEXTCRY) che aggiunge ai file che cifra. Come tutti i ransomware, una volta cifrati i dati memorizzati nel sistema richiede un riscatto. Secondo i ricercatori di BleepingComputer, NextCry è uno script Python compilato in un binario ELF Linux usando pyInstaller. Dopo l’esecuzione, il ransomware trova la condivisione file NextCloud dell’utente e sincronizza la directory dei dati leggendo il file config.php del servizio. Una volta trovato, elimina le cartelle che possono essere utilizzate per ripristinare i file e cifra tutto il contenuto della directory. Dopo la cifratura, all’utente appare un file denominato“READ_FOR_DECRYPT“ contenente un messaggio che notifica l’avvenuta cifratura di tutti i file tramite algoritmo AES con una chiave a 256 bit. (quest’ultima è cifrata con una chiave pubblica RSA-2048 incorporata nel codice malware).
Come sempre, il malware può essere veicolato tramite un software legittimo, ad esempio nei pop-up che consigliano agli utenti di implementare alcuni importanti aggiornamenti software o tramite la classica e-mail di phishing che invita l’utente a cliccare su un link o aprire un allegato.
