Eine neue Ransomware nimmt die Software von Linux-Anwendern und -Admins in Geiselhaft und verschlüsselt wichtige Dateien. Wer einen Bitcoin löhnt, erhält den privaten Key zum Dechiffrieren.
Die recht simple Software, die auf den Namen Linux.Encoder.1 hört, sei in C geschrieben und verwende die Polar-SSL-Bibliotheken, schreibt der russische Antiviren-Anbieter Dr. Web. Der User des Linux-Systems muss die Software mit Root-Rechten starten. Das kann zum Beispiel funktionieren, wenn ein User Software nicht-vertrauenswürdiger Webseiten oder inoffizieller Repositorys installieren möchte, die den Trojaner enthält.
Der liest dann die Dateien (Dokumente, Bilder, Musik, Archive und weitere) in den Home-Verzeichnissen des Anwenders und von “root” aus und verschlüsselt sie. Zu den Zielen gehören auch Webseiten und Datenbanken, die unter “/var/lib/mysql” beziehungsweise “/var/www” liegen sowie die Konfigurationen von Apache- und Nginx-Servern. Neben privaten Dateien verschlüsselt der Trojaner auch Backups- und Git-Repositories, eine komplette Liste der Ziele liefert die Webseite von Dr. Web.
Linux.Encoder.1 verschlüsselt Dateien mit AES-CBC-128 und hängt ein “.encrypted” an die entsprechenden Files. Wer den verlangten Betrag von einem Bitcoin (zur Zeit rund 350 Euro) an die Macher der Malware überweist, erhält einen Private Key, um die Dateien wieder zu entschlüsseln. Auch eine zur Software passende Onion-Webseite haben die Trojaner-Betreiber eingerichtet. Die Entwickler von Dr. Web arbeiten nach eigenen Angaben daran, die verschlüsselten Dateien zu dechiffrieren. Bis dahin verweisen sie, wenig überraschend, auf die hauseigene Antivirenlösung.





