Dritte Version der Ransomware Linux Encoder in Umlauf

SicherheitSicherheitsmanagement
IT-Security (Bild: Shutterstock/Mathias Rosenthal)

Sie greift ebenso wie ihre seit November 2015 kursierenden Vorgänger in erster Linie Webserver an, verschlüsselt sie und fordert Lösegeld. Bitdefender sind bislang über 600 Opfer bekannt. Das kostenlos verfügbare Entschlüsselungs-Tool des Herstellers funktioniert jedoch auch bei der neuen Version der Malware.

Bitdefender hat darauf hingewiesen, dass eine neue Variante der Ransomware Linux Encoder in Umlauf ist. Diese dritte Auflage der erstmals im November 2015 in Erscheinung getretenen Malware greift wie ihre Vorgänger in erster Linie Webserver an. Neu ist, dass sie bei jeder Datei im Zuge der Verschlüsselung die Änderungszeit der ursprünglichen, unverschlüsselten Datei angibt. Dadurch ist es nicht mehr möglich, über die Änderungszeit herauszufinden, wann eine Datei modifiziert wurde, um dies für die Entschlüsselung heranzuziehen.

Bitdefender (Bild: Bitdefender)

Laut Bitdefender wurden bislang mindestens 600 Server von der neuen Variante von Linux Encoder infiziert. Die Malware verschlüsselt dann Verzeichnisse für Home, Root, MySQL, Nginx sowie Apache ebenso wie Dateien für Web-Apps, Backups, Git-Projekte sowie zahlreiche Dateien mit den Erweiterungen .exe, .apk und .dll. Das von dem Hersteller entwickelte kostenlose Entschlüsselungs-Tool, mit dem betroffene Nutzer Dateien wiederherstellen können, funktioniert jedoch auch bei der neuen Variante.

Grund dafür sind einige handwerkliche Fehler der Malware-Autoren. Beispielsweise wird der komplette AES-Schlüssel auf die verschlüsselte Datei geschrieben, wodurch die Wiederherstellung deutlich einfacher zu bewerkstelligen ist. Außerdem ist der neue Linux Encoder nicht statisch mit der libc-Bibliothek verlinkt, wodurch ältere, eigentlich anfälligere Systeme, zu der Ransomware nicht kompatibel sind, so dass das Programm darauf gar nicht startet.

Es ist aber zu befürchten, dass in künftigen Versionen diese Schwächen der Malware behoben werden. Administratoren sollten daher die verwendete Software aktuell halten, darauf achten, dass keine unbekannten Anwendungen Root-Rechte erlangen können und mit regelmäßigen Backups für Fälle vorsorgen, in denen eine Entschlüsselung nicht mehr möglich ist.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen