Fout in Linux-versie Clop-ransomware maakt decryptie bestanden mogelijk

[Captain Kirk]

Een fout in de Clop-ransomware voor Linux maakt het mogelijk om versleutelde bestanden te ontsleutelen, zo hebben onderzoekers van securitybedrijf SentinelOne ontdekt. De Linux-versie van de Clop-ransomware werd eind december voor het eerst aangetroffen en gebruikt dezelfde encryptiemethode als de Windowsversie voor het versleutelen van bestanden, aldus de onderzoekers.

Er is echter een verschil bij de keys die de ransomware gebruikt voor het versleutelen van bestanden. De Linux-versie maakt namelijk gebruik van een hardcoded "master key" voor het genereren en versleutelen van de keys die worden gebruikt voor het versleutelen van de bestanden. Deze "master key" wordt lokaal opgeslagen. Daarnaast wordt de RC4-key niet gevalideerd, wat wel het geval is bij de Windows-versie. De onderzoekers spreken van een fout in de encryptielogica waardoor het mogelijk is om bestanden te ontsleutelen.

Daardoor konden ze een script maken dat bestanden op getroffen systemen kan ontsleutelen. Volgens de onderzoekers is de Linux-versie van de Clop-ransomware nog in ontwikkeling en mist die dan ook de functionaliteit van de Windows-versie. "Hoewel de Linux-versie zich nog in de kinderschoenen bevindt, suggereert de ontwikkeling en het wijdverbreid gebruik van Linux voor servers en cloudtoepassingen dat verdedigers in de toekomst met meer Linux-ransomware rekening moeten houden", aldus onderzoeker Antonis Terefos.

 

bron: https://www.security.nl