(PM) Schwerte, 11.01.2016 - Eine neue Variante der Linux Encoder Ransomware gefährdet seit kurzem weltweit Server. Bislang wurden bereits mehr als 600 Server infiziert. Bitdefender hat jedoch bereits ein Entschlüsselungs-Tool entwickelt, mit dem Nutzer ihre Dateien kostenlos wiederherstellen können.

Die Forscher von Bitdefender haben herausgefunden, dass die neue Linux Encoder Ransomware bei jeder Datei, die durch den Verschlüsselungsprozess geht, die Änderungszeit der ursprünglichen, unverschlüsselten Datei angibt. Das bedeutet: Wird zum Beispiel eine im Jahr 2012 generierte Datei verschlüsselt, macht es dennoch den Anschein, als sei sie letztmalig in 2012 geändert worden. So ist es nicht mehr möglich, über die Änderungszeit herauszufinden, wann eine Datei geändert wurde, um dies als Schlüssel für die Entschlüsselung zu nutzen.

Fehlender Hash-Algorithmus ermöglicht Entschlüsselung

Bei dieser neuen Version der Schadsoftware werden Initialisierungsvektoren von einem Hash der entsprechenden Dateigrößen und Dateinamen generiert – 32 Bytes von rand() sind 8-mal gehasht und werden als AES-256-Schlüssel verwendet. Zudem ist der neue Linux Encoder nicht statisch mit der libc-Bibliothek verlinkt. Dadurch sind ältere Systeme, die anfälliger für eine Infizierung sind, mit der Ransomware nicht kompatibel und das Programm startet darauf nicht.

Trotzdem wird auch die aktuelle Linux Encoder Ransomware mit einem Fehler ausgeliefert. Er liegt in der Art, wie Angreifer die zufälligen Bytes hashen, um den AES-256-Schlüssel zu erzeugen. Dabei haben die Entwickler vergessen, einen Hash-Algorithmus zu wählen, wodurch die Ausgabe der Hashing-Funktion unverändert bleibt. Daher sind alle Aufrufe der Update- und Finish-Primitives erfolglos. So wird der komplette AES-Schlüssel auf die verschlüsselte Datei geschrieben, was ihre Wiederherstellung deutlich vereinfacht.

Fehler in alter Version ebenfalls gefunden

Die Ransomware greift bereits seit November 2015 gezielt anfällige Linux Web-Server an. Bitdefender-Forschern gelang es jedoch frühzeitig aufgrund eines Programmierfehlers ein Entschlüsselungs-Tool zu generieren und den Opfern ein kostenloses Hilfsprogramm zur Wiederherstellung zur Verfügung zu stellen. Kurz nach Veröffentlichung dieses Tools tauchte eine ältere Version der Ransomware auf. Damit war es möglich, den symmetrischen AES-Schlüssel herauszufinden, der für die Entschlüsselung verwendet wurde. Diese Version der Linux Encoder Ransomware hat durch den Aufruf der rand()-Funktion einen 16-Byte-Initialisierungsvektor und einen 16-Byte-AES Schlüssel generiert. Der Initial Seed der RNG wurde aus dem aktuellen Zeitstempel genommen. Dies erfolgte zeitnah zur Änderungszeit der Datei nach der Verschlüsselung.

Kostenloses Entschlüsselungs-Tool verfügbar

Anwender, die von der neuen Version der Ransomware betroffen sind, können sich im Download-Bereich von Bitdefender ein kostenloses Entschlüsselungs-Hilfsprogramm herunterladen. Dabei müssen Nutzer sicherstellen, dass die gefährdeten Plattformen nach der Wiederherstellung aktualisiert werden, um diese Art von Angriffen auszuschließen.