Die Ransomware Linux.Encoder.1 verschlüsselt Dateien auf Linux-Systemen und fordert 1 Bitcoin für die Entschlüsselung. Das entspricht derzeit rund 350 Dollar. Einer solchen Erpressung ausgesetzte Administratoren müssen jedoch nicht bezahlen. Sicherheitsforscher fanden inzwischen einen einfachen und kostenlosen Weg, um wieder an die Daten zu kommen.
Ihre Bezeichnung erhielt die erpresserische Malware vom russischen Antivirus-Anbieter Dr. Web. Wie er in einem Blogeintrag ausführt, haben es die Angreifer hauptsächlich auf Website-Administratoren abgesehen, auf deren Rechnern Webserver eingerichtet sind. Die Malware verschlüsselt Verzeichnisse für Home, Root, MySQL, Nginx sowie Apache und geht dann dazu über, Dateien für Web-Apps, Backups, Git-Projekte sowie zahlreiche Dateien mit bestimmten Erweiterungen wie .exe, .apk sowie .dll zu verschlüsseln.
Das mutmaßliche Einfallstor für die Schadsoftware könnte eine Sicherheitslücke im Content-Management-System Magento sein, die schon für frühere Angriffe auf Webserver genutzt wurde. Ende Oktober warnte Magento seine Nutzer und forderte sie zur Installation von Patches auf, um den aus der Ferne nutzbaren Fehler zu beheben, der in manchen Serverkonfigurationen Zugriff auf Systemdateien gab. Der Hersteller erwartete automatisierte Angriffe auf Magento-Installationen, nachdem ein Sicherheitsforscher über den Bug informierte.
Sicherheitsanbieter Bitdefender analysierte Linux-Encoder.1 ebenfalls und kam zum Schluss, dass er verbreiteter Ransomware für Windows wie etwa Cryptolocker und Torlocker ähnelt, die ihren Hintermännern bereits Millionen Dollar einbrachte: „Genau wie Windows-basierte Ransomware verschlüsselt es die Inhalte dieser Dateien mit AES, einem Algorithmus mit einem symmetrischen Schlüssel. Dieser bietet die erforderliche Stärke und Geschwindigkeit, während es die Nutzung der Systemressourcen auf ein Minimum beschränkt. Der symmetrische Schlüssel wird dann mit einem asymmetrischen Verschlüsselungsalgorithmus verschlüsselt, und zusammen mit dem von AES genutzten Initialisierungsvektor (IV) der Datei vorangestellt.“
Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.
Die Entwickler der Crypto-Ransomware machten dabei jedoch einen kapitalen Fehler und damit auch ihre eigenen Pläne zunichte. Statt sichere zufällige RSA-Schlüssel und IVs zu erstellen, griffen sie auf Informationen im Zusammenhang mit der Funktion libc rand() und dem Zeitstempel zu. Diese Informationen sind auch im Nachhinein leicht zu erlangen durch einen Blick auf den Zeitstempel der Datei. „Diese gewaltige Designfehler erlaubt es, an den AES-Schlüssel zu kommen, ohne ihn mit dem RSA-Public-Key entschlüsseln zu müssen, den die Hintermänner des Trojaners verkaufen“, erklärten die Sicherheitsforscher von Bitdefender dazu – und stellen dafür ein automatisches Entschlüsselungstool bereit.
[mit Material von Liam Tung, ZDNet.com]
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…
