NextCry è un nuovo ransomware che prende di mira server NextCloud Linux

Una nuova variante di ransomware, particolarmente infida, è stata scoperta nelle passate ore e prende di mira i server NexCloud Linux: si chiama NextCry ed è in grado di passare inosservato ai sistemi di scanning e ai motori antivirus, e attualmente non è disponibile per le vittime alcuno strumento specifico che possa de-criptare i dati gratuitamente.

Il ransomware NextCry, che tecnicamete è uno script in Python compilato in un binario Linux ELF utilizzando pyInstaller, fa uso di Base64 per codificare i nomi di file e il contenuto dei file che sono già stati criptati. NextCry usa l'algoritmo AES con chiave a 256-bit. Le vittime ricevono una nota "READ_FOR_DECRYPT" che richiede un riscatto di 0,025 bitcoin - al momento in cui scriviamo si tratta di un controvalore di circa 160$/150€ - per sbloccare i file criptati.

Un utente ha condiviso la sua esperienza sul forum di Bleeping Computer, in un tentativo di trovare un modo per decrittare i file: "Ho realizzato che il mio server è stato compromesso e questi file sono stati criptati. La prima cosa che ho fatto è stato disattivare il server per limitare il danno che era stato fatto (solo il 50% dei file era stato criptato). Ho il mio server linux con NGINX reverse-proxy".

Il messaggio può fornire qualche indizio per capire come è stato possibile agli attaccanti accedere al sistema: lo scorso 24 ottore NextCloud ha infatti rivelato una vulnerabilità che è stata sfruttata per comprometere i server con la configurazione NGINX di default. NextCloud raccomanda che gli amministratori aggiornino i loro pacchetti PHP e il file di configurazione NGINX all'ultima versione per proteggersi contro gli attacchi NextCry.