Linux.Encoder.1

Linux-Ransomware verrät eigenen Schlüssel

| Redakteur: Stephan Augsten

Ransomware-Entwickler versuchen nun auch, Linux-Nutzer mithilfe der Datei-Verschlüsselung zu erpressen.
Ransomware-Entwickler versuchen nun auch, Linux-Nutzer mithilfe der Datei-Verschlüsselung zu erpressen. (Bild: julien tromeur - Fotolia.com)

Nach den Nutzern von Windows und Mac OS müssen sich nun auch die ersten Linux-Nutzer Gedanken um Ransomware machen. Mit Linux.Encoder.1 haben die Antivirus-Experten von Bitdefender nämlich die erste Datei-verschlüsselnde Malware für entsprechende Betriebssysteme entdeckt.

Das Problem von Malware, die Dateien in erpresserischer Absicht verschlüsselt, war bislang vornehmlich Windows-Anwendern und vereinzelten Apple-Anhängern vorbehalten. Nun ist in freier Wildbahn eine Malware aufgetaucht, die Linux-Nutzer um Bares erleichtern soll.

Über eine Schwachstelle in der Magento App, einem Content Managemet System (CMS), konnten Angreifer aus der Ferne den Schadcode ausführen. Infolge einer erfolgreichen Infektion hat Linux.Encoder.1 die Inhalte der Verzeichnisse /home, /root und /var/lib/mysql verschlüsselt. Kritische Dateien im Root-Verzeichnis, die für den Systemstart benötigt werden, blieben dabei unangetastet.

Linux.Encoder.1 nutzt einen symmetrischen Algorithmus nach dem Advanced Encryption Standard (AES), der minimale Ressourcen verbraucht. Der symmetrische Schlüssel wird dann mit einem asymmetrischen Verschlüsselungsalgorithmus (RSA) kodiert und am Anfang der Datei zusammen mit dem AES-Initialisierungsvektor hinzugefügt.

Ein Gutes kann man der ersten bekannten Linux-Ransomware allerdings abgewinnen: Durch einen Codierungsfehler war es den Malware-Experten bei Bitdefender möglich, den AES- Schlüssel auszulesen, ohne im Besitz des RSA-Schlüssels zu sein. Nichtsdestotrotz sollte die Verfügbarkeit der Ransomware die Alarmglocken bei Linux-Nutzern schrillen lassen.

Das von Bitdefender erstellte Toolkit identifiziert den Verschlüsselungscode durch die Analyse der Datei und startet den Dekodierungsvorgang, gefolgt von der Reparatur der Datei. Wenn das kompromittierte Betriebssystem mit dem Hochfahren beginnt, lädt der Nutzer das bei Bitdefender hinterlegte Linux-Skript herunter und führt es aus.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43719014 / Malware)