VOLLTEXTSUCHE
Pressearchiv
Bitdefender GmbH
Pressemitteilung

Bitdefender: Dritte Version der Linux-Ransomware noch nicht bereit für Prime-Time

Mehr als 600 Server infiziert / Kostenloses Entschlüsselungs-Tool verfügbar
(PM) Schwerte, 11.01.2016 - Eine neue Variante der Linux Encoder Ransomware gefährdet seit kurzem weltweit Server. Bislang wurden bereits mehr als 600 Server infiziert. Bitdefender hat jedoch bereits ein Entschlüsselungs-Tool entwickelt, mit dem Nutzer ihre Dateien kostenlos wiederherstellen können.

Die Forscher von Bitdefender haben herausgefunden, dass die neue Linux Encoder Ransomware bei jeder Datei, die durch den Verschlüsselungsprozess geht, die Änderungszeit der ursprünglichen, unverschlüsselten Datei angibt. Das bedeutet: Wird zum Beispiel eine im Jahr 2012 generierte Datei verschlüsselt, macht es dennoch den Anschein, als sei sie letztmalig in 2012 geändert worden. So ist es nicht mehr möglich, über die Änderungszeit herauszufinden, wann eine Datei geändert wurde, um dies als Schlüssel für die Entschlüsselung zu nutzen.

Fehlender Hash-Algorithmus ermöglicht Entschlüsselung

Bei dieser neuen Version der Schadsoftware werden Initialisierungsvektoren von einem Hash der entsprechenden Dateigrößen und Dateinamen generiert – 32 Bytes von rand() sind 8-mal gehasht und werden als AES-256-Schlüssel verwendet. Zudem ist der neue Linux Encoder nicht statisch mit der libc-Bibliothek verlinkt. Dadurch sind ältere Systeme, die anfälliger für eine Infizierung sind, mit der Ransomware nicht kompatibel und das Programm startet darauf nicht.

Trotzdem wird auch die aktuelle Linux Encoder Ransomware mit einem Fehler ausgeliefert. Er liegt in der Art, wie Angreifer die zufälligen Bytes hashen, um den AES-256-Schlüssel zu erzeugen. Dabei haben die Entwickler vergessen, einen Hash-Algorithmus zu wählen, wodurch die Ausgabe der Hashing-Funktion unverändert bleibt. Daher sind alle Aufrufe der Update- und Finish-Primitives erfolglos. So wird der komplette AES-Schlüssel auf die verschlüsselte Datei geschrieben, was ihre Wiederherstellung deutlich vereinfacht.

Fehler in alter Version ebenfalls gefunden

Die Ransomware greift bereits seit November 2015 gezielt anfällige Linux Web-Server an. Bitdefender-Forschern gelang es jedoch frühzeitig aufgrund eines Programmierfehlers ein Entschlüsselungs-Tool zu generieren und den Opfern ein kostenloses Hilfsprogramm zur Wiederherstellung zur Verfügung zu stellen. Kurz nach Veröffentlichung dieses Tools tauchte eine ältere Version der Ransomware auf. Damit war es möglich, den symmetrischen AES-Schlüssel herauszufinden, der für die Entschlüsselung verwendet wurde. Diese Version der Linux Encoder Ransomware hat durch den Aufruf der rand()-Funktion einen 16-Byte-Initialisierungsvektor und einen 16-Byte-AES Schlüssel generiert. Der Initial Seed der RNG wurde aus dem aktuellen Zeitstempel genommen. Dies erfolgte zeitnah zur Änderungszeit der Datei nach der Verschlüsselung.

Kostenloses Entschlüsselungs-Tool verfügbar

Anwender, die von der neuen Version der Ransomware betroffen sind, können sich im Download-Bereich von Bitdefender ein kostenloses Entschlüsselungs-Hilfsprogramm herunterladen. Dabei müssen Nutzer sicherstellen, dass die gefährdeten Plattformen nach der Wiederherstellung aktualisiert werden, um diese Art von Angriffen auszuschließen.
PRESSEKONTAKT
Bitdefender GmbH
Herr Bogdan Botezatu
Lohbachstrasse 12
58239 Schwerte
+49-2304-945-160
E-Mail senden
Homepage
PRESSEKONTAKT
Fink & Fuchs Public Relations AG
Frau Michaela Eichner
Paul-Heyse-Straße 29
80336 München
+49-89-58978714
E-Mail senden
ZUM AUTOR
ÜBER BITDEFENDER®

Bitdefender ist Hersteller einer der weltweit schnellsten und effektivsten Produktserien für international zertifizierte Internet-Sicherheits-Software. Seit dem Jahr 2001 ist das Unternehmen immer wieder ein innovativer Wegbereiter der Branche, ...
ZUM AUTOR
ÜBER BITDEFENDER HOTFORSECURITY®

Zusätzlich veröffentlicht Bitdefender das englischsprachige Blog „HOTforSecurity“, welches rund um die aktuelle Sicherheitslage weltweit informiert. Es bietet eine prickelnde Mischung aus nebulösen Computersicherheitsgeschichten und ...
Hinweis
Dieses Pressefach wird betreut von
Fink & Fuchs Public Relations AG
Mit über 25 Jahren Erfahrung ist Fink & Fuchs Public Relations für Unternehmen und Verbände der strategische Partner in allen Fragen der erfolgreichen Markenführung. Die Berater der Kommunikationsagentur sind Experten ... zum PR-Dienstleistereintrag
PRESSEFACH
Bitdefender GmbH
Lohbachstrasse 12
58239 Schwerte
zum Pressefach
Anzeige
PRESSEARCHIV
Anzeige
BUSINESS-SERVICES
© novo per motio KG