Neue Crypto-Ransomware zielt auf Linux-Rechner

Linux.Encoder.1 verschlüsselt Dateien auf Linux-Systemen. Für die Entschlüsselung fordern die Hintermänner 1 Bitcoin, was derzeit etwa 350 Dollar entspricht. Die Malware-Entwickler machten jedoch einen Fehler, der Sicherheitsforschern die Schaffung eines kostenlosen Entschlüsselungstools erlaubte.

Die Ransomware Linux.Encoder.1 verschlüsselt Dateien auf Linux-Systemen und fordert 1 Bitcoin für die Entschlüsselung. Das entspricht derzeit rund 350 Dollar. Einer solchen Erpressung ausgesetzte Administratoren müssen jedoch nicht bezahlen. Sicherheitsforscher fanden inzwischen einen einfachen und kostenlosen Weg, um wieder an die Daten zu kommen.

(Bild: Maksim Kabakou/Shutterstock)

Ihre Bezeichnung erhielt die erpresserische Malware vom russischen Antivirus-Anbieter Dr. Web. Wie er in einem Blogeintrag ausführt, haben es die Angreifer hauptsächlich auf Website-Administratoren abgesehen, auf deren Rechnern Webserver eingerichtet sind. Die Malware verschlüsselt Verzeichnisse für Home, Root, MySQL, Nginx sowie Apache und geht dann dazu über, Dateien für Web-Apps, Backups, Git-Projekte sowie zahlreiche Dateien mit bestimmten Erweiterungen wie .exe, .apk sowie .dll zu verschlüsseln.

Das mutmaßliche Einfallstor für die Schadsoftware könnte eine Sicherheitslücke im Content-Management-System Magento sein, die schon für frühere Angriffe auf Webserver genutzt wurde. Ende Oktober warnte Magento seine Nutzer und forderte sie zur Installation von Patches auf, um den aus der Ferne nutzbaren Fehler zu beheben, der in manchen Serverkonfigurationen Zugriff auf Systemdateien gab. Der Hersteller erwartete automatisierte Angriffe auf Magento-Installationen, nachdem ein Sicherheitsforscher über den Bug informierte.

Sicherheitsanbieter Bitdefender analysierte Linux-Encoder.1 ebenfalls und kam zum Schluss, dass er verbreiteter Ransomware für Windows wie etwa Cryptolocker und Torlocker ähnelt, die ihren Hintermännern bereits Millionen Dollar einbrachte: „Genau wie Windows-basierte Ransomware verschlüsselt es die Inhalte dieser Dateien mit AES, einem Algorithmus mit einem symmetrischen Schlüssel. Dieser bietet die erforderliche Stärke und Geschwindigkeit, während es die Nutzung der Systemressourcen auf ein Minimum beschränkt. Der symmetrische Schlüssel wird dann mit einem asymmetrischen Verschlüsselungsalgorithmus verschlüsselt, und zusammen mit dem von AES genutzten Initialisierungsvektor (IV) der Datei vorangestellt.“

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Die Entwickler der Crypto-Ransomware machten dabei jedoch einen kapitalen Fehler und damit auch ihre eigenen Pläne zunichte. Statt sichere zufällige RSA-Schlüssel und IVs zu erstellen, griffen sie auf Informationen im Zusammenhang mit der Funktion libc rand() und dem Zeitstempel zu. Diese Informationen sind auch im Nachhinein leicht zu erlangen durch einen Blick auf den Zeitstempel der Datei. „Diese gewaltige Designfehler erlaubt es, an den AES-Schlüssel zu kommen, ohne ihn mit dem RSA-Public-Key entschlüsseln zu müssen, den die Hintermänner des Trojaners verkaufen“, erklärten die Sicherheitsforscher von Bitdefender dazu – und stellen dafür ein automatisches Entschlüsselungstool bereit.

[mit Material von Liam Tung, ZDNet.com]

Themenseiten: Bitdefender, Dr. Web, Linux, Malware, Secure-IT, Server, Sicherheit, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Neue Crypto-Ransomware zielt auf Linux-Rechner

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *