Mehr als 600 Server infiziert / Kostenloses Entschlüsselungs-Tool verfügbar
Schwerte – Eine neue Variante der Linux Encoder Ransomware gefährdet seit kurzem weltweit Server. Bislang wurden bereits mehr als 600 Server infiziert. Bitdefender hat jedoch bereits ein Entschlüsselungs-Tool entwickelt, mit dem Nutzer ihre Dateien kostenlos wiederherstellen können.
Die Forscher von Bitdefender haben herausgefunden, dass die neue Linux Encoder Ransomware bei jeder Datei, die durch den Verschlüsselungsprozess geht, die Änderungszeit der ursprünglichen, unverschlüsselten Datei angibt. Das bedeutet: Wird zum Beispiel eine im Jahr 2012 generierte Datei verschlüsselt, macht es dennoch den Anschein, als sei sie letztmalig in 2012 geändert worden. So ist es nicht mehr möglich, über die Änderungszeit herauszufinden, wann eine Datei geändert wurde, um dies als Schlüssel für die Entschlüsselung zu nutzen.
Fehlender Hash-Algorithmus ermöglicht Entschlüsselung
Bei dieser neuen Version der Schadsoftware werden Initialisierungsvektoren von einem Hash der entsprechenden Dateigrößen und Dateinamen generiert – 32 Bytes von rand() sind 8-mal gehasht und werden als AES-256-Schlüssel verwendet. Zudem ist der neue Linux Encoder nicht statisch mit der libc-Bibliothek verlinkt. Dadurch sind ältere Systeme, die anfälliger für eine Infizierung sind, mit der Ransomware nicht kompatibel und das Programm startet darauf nicht.
Trotzdem wird auch die aktuelle Linux Encoder Ransomware mit einem Fehler ausgeliefert. Er liegt in der Art, wie Angreifer die zufälligen Bytes hashen, um den AES-256-Schlüssel zu erzeugen. Dabei haben die Entwickler vergessen, einen Hash-Algorithmus zu wählen, wodurch die Ausgabe der Hashing-Funktion unverändert bleibt. Daher sind alle Aufrufe der Update- und Finish-Primitives erfolglos. So wird der komplette AES-Schlüssel auf die verschlüsselte Datei geschrieben, was ihre Wiederherstellung deutlich vereinfacht.
Fehler in alter Version ebenfalls gefunden
Die Ransomware greift bereits seit November 2015 gezielt anfällige Linux Web-Server an. Bitdefender-Forschern gelang es jedoch frühzeitig aufgrund eines Programmierfehlers ein Entschlüsselungs-Tool zu generieren und den Opfern ein kostenloses Hilfsprogramm zur Wiederherstellung zur Verfügung zu stellen. Kurz nach Veröffentlichung dieses Tools tauchte eine ältere Version der Ransomware auf. Damit war es möglich, den symmetrischen AES-Schlüssel herauszufinden, der für die Entschlüsselung verwendet wurde. Diese Version der Linux Encoder Ransomware hat durch den Aufruf der rand()-Funktion einen 16-Byte-Initialisierungsvektor und einen 16-Byte-AES Schlüssel generiert. Der Initial Seed der RNG wurde aus dem aktuellen Zeitstempel genommen. Dies erfolgte zeitnah zur Änderungszeit der Datei nach der Verschlüsselung.
Kostenloses Entschlüsselungs-Tool verfügbar
Anwender, die von der neuen Version der Ransomware betroffen sind, können sich im Download-Bereich von Bitdefender ein kostenloses Entschlüsselungs-Hilfsprogramm herunterladen. Dabei müssen Nutzer sicherstellen, dass die gefährdeten Plattformen nach der Wiederherstellung aktualisiert werden, um diese Art von Angriffen auszuschließen.
Über Bitdefender®
Bitdefender ist Hersteller einer der weltweit schnellsten und effektivsten Produktserien für international zertifizierte Internet-Sicherheits-Software. Seit dem Jahr 2001 ist das Unternehmen immer wieder ein innovativer Wegbereiter der Branche, indem es preisgekrönte Schutzlösungen einführt und weiterentwickelt. Mittlerweile setzen weltweit rund 400 Millionen Privat- und Geschäftsanwender auf die Bitdefender-Technologie, um ihre digitale Welt sicherer zu machen. Bitdefender hat vor kurzem eine Reihe wichtiger Empfehlungen und Auszeichnungen in der globalen Sicherheitsindustrie erhalten. Dazu gehören “Produkt des Jahres 2012” von AV-Comparatives, “Beste Reparatur 2012” von AV-Test und “Editor’s Choice” des PC Mag. Diese Auszeichnungen bestätigen den Spitzenplatz der Software unter den Sicherheitslösungen. Weitere Informationen zu den Antivirenprodukten von Bitdefender sind im Bitdefender Security Center der Unternehmenswebseite im Pressecenter verfügbar.
Über Bitdefender HOTforSecurity®
Zusätzlich veröffentlicht Bitdefender das englischsprachige Blog „HOTforSecurity“, welches rund um die aktuelle Sicherheitslage weltweit informiert. Es bietet eine prickelnde Mischung aus nebulösen Computersicherheitsgeschichten und sachlich fundierten Stories, die die schmutzige Welt der Internetbetrügereien, Spams, Scams, Malware und des Klatsches sichtbar macht. Bitdefender pflegt auch eine deutsche HOTforSecurity-Version, die sich insbesondere auf die Nachrichtenlage im deutschsprachigen Raum (Deutschland, Österreich, Schweiz) konzentriert. Wollen Sie zu allen aktuellen Bedrohungen immer auf dem Laufenden sein, dann abonnieren Sie hier unseren Newsletter.
