Linuxgebruikers doelwit van nieuwe ransomware

[Captain Kirk]

Onderzoekers van het Russische anti-virusbedrijf Doctor Web hebben ransomware ontdekt die het op Linuxgebruikers heeft voorzien. Hoe de "Linux Encoder" ransomware zich verspreidt laat de virusbestrijder niet weten. De malware heeft het vooral voorzien op webmasters en webservers.

Zodra de ransomware met beheerdersrechten kan starten zal die onder andere een bestand met instructies voor het slachtoffer downloaden en de bestanden versleutelen. Het gaat in dit geval om bestanden in home directories en directories die met het beheer van de website samenhangen. Hierna worden alleen bestanden met specifieke extensies en bepaalde directorynamen versleuteld. De versleutelde bestanden krijgen een .encrypted extensies.

Ook wordt er in elke directory met versleutelde bestanden het bestand met instructies geplaatst. Daarin staat dat het slachtoffer 1 bitcoin moet betalen, wat met 360 euro overeenkomt. De ransomware heeft volgens Doctor Web al meer dan 10 slachtoffers gemaakt. Het anti-virusbedrijf adviseert slachtoffers om contact met de technische afdeling van het bedrijf op te nemen. Om de bestanden te ontsleutelen is het volgens de virusbestrijder belangrijk dat gebruikers ze niet aanpassen of verwijderen, anders kunnen de versleutelde data permanent verloren gaan.

 

 

 

bron: security.nl

 

[Captain Kirk]

Onderzoekers kraken Linux-ransomware door ontwerpfout

 

Onderzoeker zijn erin geslaagd de Linux.Encoder-ransomware voor Linux te kraken, zodat slachtoffers zonder te betalen hun bestanden kunnen terugkrijgen. De ransomware werd vorige week door het anti-virusbedrijf Doctor Web aangekondigd. Destijds was onbekend hoe de ransomware zich verspreidde.

Wel was bekend dat het voornamelijk webservers waren die werden geïnfecteerd. Nu meldt het Roemeense anti-virusbedrijf Bitdefender dat aanvallers een kwetsbaarheid in het populaire contentmanagementsysteem Magento gebruiken om toegang tot servers te krijgen. Vervolgens installeren ze de ransomware, die erg veel op Windows-ransomware lijkt. Net als Windows-gebaseerde ransomware versleutelt Linux.Encoder bestanden met AES. De symmetrische sleutel wordt dan versleuteld met een asymmetrisch encryptie algoritme (RSA).

Bij het ontwerp van de ransomare hebben de makers een grote fout gemaakt, waardoor onderzoekers van Bitdefender de AES-sleutel kunnen achterhalen zonder dat die eerst met de RSA-privésleutel moet worden ontsleuteld. De ransomware gebruikt namelijk geen willekeurige sleutels en initialisatievectoren voor de encryptie, maar leidt deze twee stuks informatie af van een bepaalde functie in combinatie met de tijd van de encryptie. Deze informatie is eenvoudig terug te halen en is volgens de onderzoekers een grote ontwerpfout. Ze hebben nu een tool (zip) ontwikkeld die automatisch versleutelde bestanden kan ontsleutelen.

 

bron: security.nl

12 november 2015 aangepast door Captain Kirk