Suchen

Linux.Encoder.1 Linux-Ransomware verrät eigenen Schlüssel

| Redakteur: Stephan Augsten

Nach den Nutzern von Windows und Mac OS müssen sich nun auch die ersten Linux-Nutzer Gedanken um Ransomware machen. Mit Linux.Encoder.1 haben die Antivirus-Experten von Bitdefender nämlich die erste Datei-verschlüsselnde Malware für entsprechende Betriebssysteme entdeckt.

Firmen zum Thema

Ransomware-Entwickler versuchen nun auch, Linux-Nutzer mithilfe der Datei-Verschlüsselung zu erpressen.
Ransomware-Entwickler versuchen nun auch, Linux-Nutzer mithilfe der Datei-Verschlüsselung zu erpressen.
(Bild: julien tromeur - Fotolia.com)

Das Problem von Malware, die Dateien in erpresserischer Absicht verschlüsselt, war bislang vornehmlich Windows-Anwendern und vereinzelten Apple-Anhängern vorbehalten. Nun ist in freier Wildbahn eine Malware aufgetaucht, die Linux-Nutzer um Bares erleichtern soll.

Über eine Schwachstelle in der Magento App, einem Content Managemet System (CMS), konnten Angreifer aus der Ferne den Schadcode ausführen. Infolge einer erfolgreichen Infektion hat Linux.Encoder.1 die Inhalte der Verzeichnisse /home, /root und /var/lib/mysql verschlüsselt. Kritische Dateien im Root-Verzeichnis, die für den Systemstart benötigt werden, blieben dabei unangetastet.

Linux.Encoder.1 nutzt einen symmetrischen Algorithmus nach dem Advanced Encryption Standard (AES), der minimale Ressourcen verbraucht. Der symmetrische Schlüssel wird dann mit einem asymmetrischen Verschlüsselungsalgorithmus (RSA) kodiert und am Anfang der Datei zusammen mit dem AES-Initialisierungsvektor hinzugefügt.

Ein Gutes kann man der ersten bekannten Linux-Ransomware allerdings abgewinnen: Durch einen Codierungsfehler war es den Malware-Experten bei Bitdefender möglich, den AES- Schlüssel auszulesen, ohne im Besitz des RSA-Schlüssels zu sein. Nichtsdestotrotz sollte die Verfügbarkeit der Ransomware die Alarmglocken bei Linux-Nutzern schrillen lassen.

Das von Bitdefender erstellte Toolkit identifiziert den Verschlüsselungscode durch die Analyse der Datei und startet den Dekodierungsvorgang, gefolgt von der Reparatur der Datei. Wenn das kompromittierte Betriebssystem mit dem Hochfahren beginnt, lädt der Nutzer das bei Bitdefender hinterlegte Linux-Skript herunter und führt es aus.

(ID:43719014)