Categories: SicherheitVirus

Neue Crypto-Ransomware zielt auf Linux-Rechner

Die Ransomware Linux.Encoder.1 verschlüsselt Dateien auf Linux-Systemen und fordert 1 Bitcoin für die Entschlüsselung. Das entspricht derzeit rund 350 Dollar. Einer solchen Erpressung ausgesetzte Administratoren müssen jedoch nicht bezahlen. Sicherheitsforscher fanden inzwischen einen einfachen und kostenlosen Weg, um wieder an die Daten zu kommen.

Ihre Bezeichnung erhielt die erpresserische Malware vom russischen Antivirus-Anbieter Dr. Web. Wie er in einem Blogeintrag ausführt, haben es die Angreifer hauptsächlich auf Website-Administratoren abgesehen, auf deren Rechnern Webserver eingerichtet sind. Die Malware verschlüsselt Verzeichnisse für Home, Root, MySQL, Nginx sowie Apache und geht dann dazu über, Dateien für Web-Apps, Backups, Git-Projekte sowie zahlreiche Dateien mit bestimmten Erweiterungen wie .exe, .apk sowie .dll zu verschlüsseln.

Das mutmaßliche Einfallstor für die Schadsoftware könnte eine Sicherheitslücke im Content-Management-System Magento sein, die schon für frühere Angriffe auf Webserver genutzt wurde. Ende Oktober warnte Magento seine Nutzer und forderte sie zur Installation von Patches auf, um den aus der Ferne nutzbaren Fehler zu beheben, der in manchen Serverkonfigurationen Zugriff auf Systemdateien gab. Der Hersteller erwartete automatisierte Angriffe auf Magento-Installationen, nachdem ein Sicherheitsforscher über den Bug informierte.

Sicherheitsanbieter Bitdefender analysierte Linux-Encoder.1 ebenfalls und kam zum Schluss, dass er verbreiteter Ransomware für Windows wie etwa Cryptolocker und Torlocker ähnelt, die ihren Hintermännern bereits Millionen Dollar einbrachte: „Genau wie Windows-basierte Ransomware verschlüsselt es die Inhalte dieser Dateien mit AES, einem Algorithmus mit einem symmetrischen Schlüssel. Dieser bietet die erforderliche Stärke und Geschwindigkeit, während es die Nutzung der Systemressourcen auf ein Minimum beschränkt. Der symmetrische Schlüssel wird dann mit einem asymmetrischen Verschlüsselungsalgorithmus verschlüsselt, und zusammen mit dem von AES genutzten Initialisierungsvektor (IV) der Datei vorangestellt.“

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Die Entwickler der Crypto-Ransomware machten dabei jedoch einen kapitalen Fehler und damit auch ihre eigenen Pläne zunichte. Statt sichere zufällige RSA-Schlüssel und IVs zu erstellen, griffen sie auf Informationen im Zusammenhang mit der Funktion libc rand() und dem Zeitstempel zu. Diese Informationen sind auch im Nachhinein leicht zu erlangen durch einen Blick auf den Zeitstempel der Datei. „Diese gewaltige Designfehler erlaubt es, an den AES-Schlüssel zu kommen, ohne ihn mit dem RSA-Public-Key entschlüsseln zu müssen, den die Hintermänner des Trojaners verkaufen“, erklärten die Sicherheitsforscher von Bitdefender dazu – und stellen dafür ein automatisches Entschlüsselungstool bereit.

[mit Material von Liam Tung, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

7 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

11 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

11 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

12 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

12 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

14 Stunden ago