Linux-Ransomware-Ersteller beim dritten Mal Pech, da Forscher die Verschlüsselung erneut knacken

Forscher finden heraus, dass Linux.Encoder 3-Version weiterhin fehlerhafte Verschlüsselung verwendet und die Wiederherstellung von Dateien ermöglicht

Zu großer Freude der Sicherheitsforscher haben eine Gruppe von Malware-Erstellern derzeit Schwierigkeiten, die kryptografischen Implementierungen in ihrer Ransomware richtig hinzubekommen. Dies ist nicht einmal, sondern dreimal passiert.

Eine Gruppe von Cyberkriminellen versucht seit mehreren Monaten, Linux-Systeme, hauptsächlich Webserver, mit einem dateiverschlüsselnden Ransomware-Programm zu infizieren, das die Sicherheitsbranche Linux.Encoder genannt hat.

Laut Sicherheitsforschern des Antivirenanbieters Bitdefender hat die dritte Version von Linux.Encoder mindestens 600 verwundbare Server weltweit infiziert.

Die gute Nachricht ist, dass diese Version des Programms auch einen Fehler aufweist, der die Entschlüsselung ohne Zahlung des Lösegelds ermöglicht, trotz der Versuche ihrer Ersteller, ihre vorherigen Fehler zu beheben.

Catalin Cosoi, Chief Security Strategist bei Bitdefender, sagte: „Wie wir erwartet haben, haben die Ersteller von Linux.Encoder ihre vorherigen Fehler behoben und eine neue und verbesserte Variante erstellt. Glücklicherweise für die Opfer ist die neue Variante von Linux.Encoder immer noch anfällig für Schlüsselwiederherstellungsangriffe.

„Die alte Version der Linux.Encoder-Ransomware generierte einen 16-Byte-Initialisierungsvektor und einen 16-Byte-AES-Schlüssel, indem sie die Funktion rand() aufrief. Der ursprüngliche Seed für den RNG wurde aus dem aktuellen Zeitstempel entnommen, der tatsächlich sehr nah an der Änderungszeit der Datei nach der Verschlüsselung lag.“

Als Bitdefender den fehlerhaften Ansatz zur Generierung von IVs und Schlüsseln in den vorherigen Versionen dokumentierte, verspottete die Twitter-Community die Ransomware-Entwickler, indem sie wilde Verbesserungen der Funktionalität der Ransomware vorschlug.

Cosoi sagte: „Offensichtlich haben die Betreiber tatsächlich auf diese Empfehlungen geachtet; als Ergebnis wird der IV jetzt aus einem Hash der Dateigröße und des Dateinamens generiert – 32 Bytes von rand() werden 8 Mal gehasht und als AES-256-Schlüssel verwendet.“

Und die Angreifer machten immer noch Anfängerfehler beim Codieren. Zum Beispiel gibt es einen fehlenden statischen Link in der libc-Bibliothek, der das Starten der Ransomware auf älteren Systemen verhindert, die einfacher zu übernehmen wären.

Die Ransomware-Ersteller versäumten es, einen Hash-Algorithmus auszuwählen, wodurch die Ausgabe der Hash-Funktion unverändert bleibt. Die Bitdefender-Forscher sagten in einem Blogbeitrag am Dienstag: „Infolgedessen wird der vollständige AES-Schlüssel jetzt in die verschlüsselte Datei geschrieben, was seine Wiederherstellung zum Kinderspiel macht.“

Das bedeutet, dass alle Aufrufe an die Update- und Finish-Primitiven ineffektiv sind. Infolgedessen wird der vollständige AES-Schlüssel jetzt in die verschlüsselte Datei geschrieben, was seine Wiederherstellung zu einem einfachen Prozess macht.

Bitdefender hat ein neues Tool veröffentlicht, das Dateien entschlüsseln kann, die von dieser neuesten Version von Linux.Encoder betroffen sind, für diejenigen, die von der neuen Version dieser Ransomware betroffen sind.

Leider scheinen die Menschen hinter diesem Ransomware-Programm ziemlich entschlossen zu sein und werden wahrscheinlich weiterhin Fehler machen. Es ist sicher anzunehmen, dass sie ihre Implementierung irgendwann richtig hinbekommen, und wenn das passiert, werden Dateien, die von Linux.Encoder verschlüsselt wurden, ohne Backups oder Zahlung des Lösegelds nicht wiederherstellbar sein.

BitDefender-Forscher Radu Caragea nannte die letzte Linux.Encoder-Variante einen Gegenangriff und bezeichnete sie als „knappe Sache“ und sagt, dass Opfer, die dem Griff der dritten Version entkommen, möglicherweise keine vierte Chance erhalten.

„Während dies der dritte glückliche Treffer ist, stellen Sie bitte sicher, dass Sie nach der Wiederherstellung die verwundbaren Plattformen aktualisieren und diese Art von Angriffen von vornherein stoppen.“

„Beim nächsten Mal könnten Hacker tatsächlich eine funktionierende Version der Ransomware entwickeln, die nicht so einfach zu entschlüsseln ist.