Linux-Erpresser verzichten auf Lösegeld aus der ehemaligen UdSSR

Die Forscher von Malwarebytes haben eine neue Variante des ersten Verschlüsselungsschädlings für GNU/Linux überhaupt entdeckt. Der Neuling bittet die Einwohner der Länder, die irgendwann einmal zur Sowjetunion gehört haben, um Entschuldigung und bietet ihnen an, ihre Dateien kostenlos zu dechiffrieren.

Zur Erinnerung: Linux.Encoder, wie die Kollegen von Dr. Web ihn getauft haben (die Produkte von Kaspersky Lab detektieren hin als Ransom.Linux.Cryptor und Trojan-Ransom.FreeBSD.Cryptor), erschien Anfang November auf dem Radar der Antiviren-Unternehmen. Er wird unter Administratorenrechten gestartet und führt die Verschlüsselungsfunktionen aus wie viele seiner Windows-Pendants auch: Zuerst chiffriert er die Datei mit einem vor Ort generierten AES-128-Schlüssel und sie erhält die Erweiterung .encrypted, daraufhin wird dieser Chiffrierungsschlüssel mit dem RSA-Algorithmus verschlüsselt. Der private RSA-Schlüssel wird dabei bei den Cyberkriminellen gespeichert und erst nach Zahlung des Lösegeldes (für die Dechiffrierung) freigegeben.

Derzeit unterscheiden Virenanalysten drei Versionen von Linux.Encoder: die von „Dr. Web“ entdeckten Versionen 1 und 2 und die ursprüngliche Version (0), die auf den August datiert und von Bitdefender analysiert wurde. Das Verschlüsselungsprogramm Linux.Encoder.2 unterscheidet sich laut Dr. Web von der ersten Version dadurch, dass ein anderer Pseudo-Zufallsgenerator verwendet wird und auch eine anderer Bibliothek für die Verschlüsselung, und zwar OpenSSL und nicht PolarSSL, wie früher.

Ein noch späteres Sample, das Malwarebytes entdeckte, sticht dadurch hervor, dass die englische Mitteilung mit der Lösegeldforderung einen russischsprachigen Zusatz enthält. Die Erpresser entschuldigen sich bei den Bewohnern Russlands und der GUS und erklären, dass sie bereit sind, die Dateien kostenlos zu entschlüsseln, sie müssten zu diesem Zweck lediglich eine E-Mail an die angegebene Adresse schreiben:

Linux-Erpresser

Übersetzung aus dem Russischen: „Wenn sich Ihre Website in der russischen Internetzone oder der der GUS befindet, bitten wir um Entschuldigung und erklären uns bereit, die Dateien kostenlos zu entschlüsseln. Schreiben Sie uns einfach eine E-Mail.“
Quelle: Malwarebytes bei Help Net Security)

Die einzige derzeit identifizierte Verbreitungsmethode von Linux.Encoder ist die über Sicherheitslücken in den populären CMS-Plattformen WordPress und Magento. Laut Statistik von Dr. Web konnte der neue Schädling bis Mitte November mehr als 2.900 Linux-Maschinen infizieren, wobei die Zahl der Opfer mit der wachsenden Gier der Erpresser weiter steigt. Zuerst verlangten sie für die Dechiffrierung 50 Dollar in Bitcoin, mittlerweile ist diese Summe auf 500 Dollar gestiegen, in einzelnen Fällen beträgt sie sogar 999 Dollar.

Zum Schluss bleibt anzumerken, dass die Experten von Bitdefender einen für die Cyberverbrecher katastrophalen Fehler in der Umsetzung des Generators der AES-Schlüssel von Linux.Encoder gefunden haben: Diese Schlüssel werden auf der Grundlage aktueller Zeitmarken zum Zeitpunkt der Verschlüsselung erstellt. Diese Nachlässigkeit ermöglichte es den Experten ein Arbeitsskript für die Entschlüsselung zu schreiben, für die der private RSA-Schlüssel nicht benötigt wird; dieses Rettungstool, das unter Berücksichtigung der Evolution des Schädlings aktualisiert wird, wird den Opfern von Linux.Encoder unentgeltlich zur Verfügung gestellt. Dr. Web hat sich ebenfalls bereit erklärt, bei der Dechiffrierung zu helfen, allerdings nur den eigenen Kunden.

Quelle: Net Security

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.