Über eine Schwachstelle in der Magento App, einem Content Managemet System (CMS), konnten Angreifer aus der Ferne den Schadcode ausführen. Infolge einer erfolgreichen Infektion hat Linux.Encoder.1 die Inhalte der Verzeichnisse /home, /root und /var/lib/mysql verschlüsselt. Kritische Dateien im Root-Verzeichnis, die für den Systemstart benötigt werden, blieben dabei unangetastet.
Linux.Encoder.1 nutzt einen symmetrischen Algorithmus nach dem Advanced Encryption Standard (AES), der minimale Ressourcen verbraucht. Der symmetrische Schlüssel wird dann mit einem asymmetrischen Verschlüsselungsalgorithmus (RSA) kodiert und am Anfang der Datei zusammen mit dem AES-Initialisierungsvektor hinzugefügt.
Durch einen Codierungsfehler war es den Malware-Experten bei Bitdefender möglich, den AES- Schlüssel auszulesen, ohne im Besitz des RSA-Schlüssels zu sein. Nichtsdestotrotz sollte die Verfügbarkeit der Ransomware die Alarmglocken bei Linux-Nutzern schrillen lassen.
Das von Bitdefender erstellte Toolkit identifiziert den Verschlüsselungscode durch die Analyse der Datei und startet den Dekodierungsvorgang, gefolgt von der Reparatur der Datei. Wenn das kompromittierte Betriebssystem mit dem Hochfahren beginnt, lädt der Nutzer das bei Bitdefender hinterlegte Linux-Skript (http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/)herunter und führt es aus.
Linux.Encoder.1 nutzt einen symmetrischen Algorithmus nach dem Advanced Encryption Standard (AES), der minimale Ressourcen verbraucht. Der symmetrische Schlüssel wird dann mit einem asymmetrischen Verschlüsselungsalgorithmus (RSA) kodiert und am Anfang der Datei zusammen mit dem AES-Initialisierungsvektor hinzugefügt.
Durch einen Codierungsfehler war es den Malware-Experten bei Bitdefender möglich, den AES- Schlüssel auszulesen, ohne im Besitz des RSA-Schlüssels zu sein. Nichtsdestotrotz sollte die Verfügbarkeit der Ransomware die Alarmglocken bei Linux-Nutzern schrillen lassen.
Das von Bitdefender erstellte Toolkit identifiziert den Verschlüsselungscode durch die Analyse der Datei und startet den Dekodierungsvorgang, gefolgt von der Reparatur der Datei. Wenn das kompromittierte Betriebssystem mit dem Hochfahren beginnt, lädt der Nutzer das bei Bitdefender hinterlegte Linux-Skript (http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/)herunter und führt es aus.
