Bitdefender ist der erste Hersteller von Sicherheitslösungen, der den Nutzern verschiedene Tools für die Entschlüsselung von Dateien bietet, die von dem Ransomware-Virus für Linux angegriffen wurden. Anhand dieser Tools können kompromittierte Dateien in die ursprüngliche Version zurück verwandelt werden. Die gefährliche Software wurde letzte Woche zum ersten Mal entdeckt und visierte größtenteils die Workstations der Systemadministratoren in Unternehmen an.
Das Virus namens Linux.Encoder.1 ist die erste Ransomware, die Linux-Betriebssysteme angreift und verhält sich ähnlich wie CryptoWall, TorLocker und andere Familien, die bei Windows ihr Unwesen treiben.
Ähnlich wie bei den Angriffen auf Windows verwendet Linux.Encoder.1 einen symmetrischen Verschlüsselungsalgorithmus (AES), der über ausreichende Leistung und Geschwindigkeit verfügt und minimale Ressourcen verbraucht. Der symmetrische Schlüssel wird dann mit einem asymmetrischen Verschlüsselungsalgorithmus (RSA) kodiert und am Anfang der Datei zusammen mit dem Initialisierungsvektor, der von AES verwendet wird, hinzugefügt. Sobald die Dateien verschlüsselt worden sind, versucht der Trojaner den Inhalt der Root-Datei (/) zu kodieren und vermeidet nur kritische System-Dateien, so dass das Betriebssystem in der Lage ist, wieder hochzufahren. In diesem Moment wird von den Nutzern eine Gebühr gefordert, um den RSA-Code zu bekommen, der den AES-Code entschlüsselt. Eine Schwachstelle in der Programmierung des Virus hat es den Forschern von Bitdefender allerdings gestattet, den AES-Code zu extrahieren, ohne ihn mit dem RSA-Code entschlüsseln zu müssen.
Das von Bitdefender erstellte Toolkit identifiziert den Verschlüsselungscode durch die Analyse der Datei und startet den Dekodierungsvorgang, gefolgt von der Reparatur der Datei. Wenn das kompromittierte Betriebssystem mit dem Hochfahren beginnt, lädt der Nutzer das folgende Skript herunter und führt es aus: http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/
Tipps
Die Sicherheitsexperten von Bitdefender raten den Nutzern außerdem, folgende Tipps zu beachten, um das Risiko einer Infektion mit Ransomware zu reduzieren:
- Führen Sie keine Anwendungen aus, die nicht vertrauenswürdig sind. Sie könnten ein großes Sicherheitsrisiko darstellen und die Integrität der Daten am Endpunkt gefährden.
- Sichern Sie Ihre Daten aus dem Terminal durch Back-ups, entweder in der Cloud oder auf einem Peripheriegerät.
- Wenn das Gerät mit dem Linux-Betriebssystem dem Unternehmen gehört, sollten Sie darauf eine Sicherheitslösung wie die Bitdefender GravityZone installieren. Eine Anti-Malware-Lösung kann solche Bedrohungen durch Ransomware blockieren, bevor es ihnen gelingt, Dateien unwiderruflich zu verschlüsseln.