Ransomware für Linux Webserver

fb_ransomware_linuxRansom Ware, auch Krypto- oder Verschlüsselungs-Trojaner genannt, sind auf Windows (Home)-Computern ein altbekanntes Übel. Schadcode infiziert den heimischen PC und verschlüsselt unbemerkt im Hintergrund wichtige persönliche Dateien, welche vorgeblich nur gegen Zahlung eines Lösegeldes wieder entschlüsselt werden können.

Waren ursprünglich nur Windows PCs betroffen, so haben sich die Entwickler von Ransomware nun offenbar neue Ziele gesucht. Den Sicherheitsforschern von Dr.Web ging ein Krypto Trojaner ins Netz, der Linux Webserver ins Visier nimmt und infiziert.

Der Trojaner, der von Dr.Web als Linux.Encoder.1 bezeichnet wird, infiziert Web Server typischerweise über Sicherheitslücken in Shop Systemen oder CMS wie Magento. Die in C geschriebene Ransomware, welche die PolarSSL Library benutzt, benötigt adminstrator Rechte um aktiv zu werden und um 2 Files herunterzuladen, von denen eines die Forderung der Kriminellen enthält und das andere einen Pfad zu einen öffentlichen RSA Schlüssel. Dieser wird benutzt um die AES Keys zu speichern, mit denen der Trojaner die Dateien auf dem infiziertem Rechner verschlüsselt. Nachdem diese Dateien gelesen sind, läd sich der Trojaner als daemon und löscht seine ursprünglichen Dateien.

Er verschlüsselt zunächst die Dateien in folgenden Verzeichnissen:

/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/log

Danach verschlüsselt Linux.Encoder.1 alle Dateien in den Home Verzeichnissen und durchsucht das gesamte Dateisystem, ausgehend von seinem Startverzeichnis. Die verschlüsselten Dateien erhalten die Endung  “.encrypted“, zudem wird eine Datei “README_FOR_DECRYPT.txt” in jedem Verzeichnis das veschlüsselte Dateien enthält, abgelegt.

Encoder

Linux.Encoder.1 Inhalt der Forderung. Quelle : drweb.com

Bislang verschlüsselt Linux.Encoder.1 nur Dateien mit folgenden Endungen:

“.php”, “.html”, “.tar”, “.gz”, “.sql”, “.js”, “.css”, “.txt” “.pdf”, “.tgz”, “.war”, “.jar”, “.java”, “.class”, “.ruby”, “.rar” “.zip”, “.db”, “.7z”, “.doc”, “.pdf”, “.xls”, “.properties”, “.xml” “.jpg”, “.jpeg”, “.png”, “.gif”, “.mov”, “.avi”, “.wmv”, “.mp3” “.mp4”, “.wma”, “.aac”, “.wav”, “.pem”, “.pub”, “.docx”, “.apk” “.exe”, “.dll”, “.tpl”, “.psd”, “.asp”, “.phtml”, “.aspx”, “.csv”

Die Verschlüsselung mittels 128-AES Algorithmus, welcher dann durch den RSA Schlüssel verschlüsselt wird, ist fast unmöglich zu knacken und der zum entschlüsseln nötige RSA Key liegt nur lokal auf den Maschinen der Kriminellen, um sicherzustellen, dass das Opfer das Lösegeld bezahlt. Allerdings haben die Experten von Bitdefender eine Möglichkeit gefunden den AES Key wiederherzustellen, ohne im Besitz des RSA Keys zu sein. Offenbar generieren die Kriminellen keine sicheren AES Keys auf dem angegriffenen System, sondern benutzen die Systemzeit zum Zeitpunkt der Verschlüsselung als Basis um den AES Key zu generieren. Daher war Bitdefender in der Lage, ein Entschlüsslungs-Tool zu schreiben, welches die von Linux.Encoder.1 verschlüsselten Dateien automatisch wieder herstellen kann. Das Script und eine Anleitung dazu sind auf der Webseite von Bitdefender erhältlich.

In diesem Zusammenhang möchten wir auch auf unseren Artikel “Drahtzieher hinter Verschlüsselungs Trojaner geschnappt“, in welchem wir einen Link zum Ransomware Decryptor von Kaspersky bereitstellen, mit welchem sich von Coinvault und Bitcryptor verschlüsselte Dateien wieder herstellen lassen.

Wir können nur raten: Kommen Sie Aufforderungen zur Lösegeldzahlung bitte nicht nach!!

Machen Sie regelmäßig Backups von Ihren Daten und bewahren Sie diese getrennt vom System auf.