Ransomware verschlüsselt nun auch Linux-Rechner
Linux.Encoder.1 greift hauptsächlich Rechner an, auf denen Webserver laufen. Für die Entschlüsselung fordern die Hintermänner etwa 325 Euro. Allerdings muss man nicht zahlen, da der Sicherheitsanbieter Bitdefender bereits kostenlos ein Entschlüsselungstools anbietet.
Linux.Encoder.1 verschlüsselt Dateien auf Linux-Rechnern und fordert von deren Besitzern für den Key zur Entschlüsselung 1 Bitcoin, was aktuell etwa 325 Euro entspricht. Dem russischen Security-Anbieter Dr. Web zufolge, haben es die Angreifer hauptsächlich auf Rechner abgesehen, auf denen Webserver eingerichtet sind. Die Malware verschlüsselt Verzeichnisse für Home, Root, MySQL, Nginx sowie Apache ebenso wie Dateien für Web-Apps, Backups, Git-Projekte sowie zahlreiche Dateien mit den Erweiterungen .exe, .apk und .dll.
Das Einfallstor für die Schadsoftware könnte eine Sicherheitslücke in Magento sein. Sie wurde schon für früher für Angriffe auf Webserver ausgenutzt. Magento warnte Ende Oktober vor der Lücke und forderte Nutzer zur Installation von Patches auf. Der Aufforderung sollte man auch dringend nachkommen.
Von Linux.Encoder.1 betroffene Administratoren müssen jedoch nicht bezahlen. Bitdefender hat nämlich bereits bemerkt, dass die Entwickler der Ransomware einen Fehler gemacht haben: Statt zufällige RSA-Schlüssel und IVs zu erstellen, greifen sie auf Informationen zu, die im Zusammenhang mit der Funktion libc rand() und dem Zeitstempel stehen. Diese sind durch einen Blick auf den Zeitstempel der Datei nachvollziehbar.
“Dieser gewaltige Designfehler erlaubt es, an den AES-Schlüssel zu kommen, ohne ihn mit dem RSA-Public-Key entschlüsseln zu müssen, den die Hintermänner des Trojaners verkaufen”, teilen die Sicherheitsforscher von Bitdefender mit. Sie stellen bereits ein von ihnen entwickletes automatisches Entschlüsselungstool bereit.
[mit Material von Bernd Kling, ZDNet.de]