Ransomware går efter /root, /home og web-installationer på Linux

En ny type ransomware går efter Linux-installationer, som bliver krypteret med en AES-CBC-128-nøgle.

Det danske it-sikkerhedsforetagende CSIS har analyseret en ny type ransomware, der går efter Linux-installationer.

I en sikkerhedsbulletin oplyser virksomheden, at malwaren er ELF-binærkode (Executable and Linkable Format), som er pakket med open source-pakkeren til eksekverbare fil-formater UPX (Ultimate Packer for Executables).

CSIS oplyser, at koden skal afvikles med administratorrettigheder for at fungere. Den vil dernæst afsøge følgende mapper for indhold, som den systematisk vil kryptere med en AES-CBC-128 nøgle.

Når den bliver afviklet, vil den søge i mapper med potentielt systemkritisk indhold som blandt andet /home, /root og /etc/apache.

Her leder den ondsindede software efter filer med specifikke endelser. Eksempelvis .php, .html, og .java.

Herefter efterlader ransomwaren en fil, 'README_FOR_DECRYPT.txt' med afpresningstekst i mapperne med krypteret indhold med instruktioner om, hvordan data kan dekrypteres mod betaling i bitcoin.

CSIS: Første ransomware-variant målrettet Linux

»Dette er den første ransomware variant, som vi har observeret specifikt ramme Linux. Det er endnu ukendt hvordan systemet kompromitteres og koden afvikles, men vi anbefaler, som med alle andre operativsystemer, at man sikrer opdateringer og sikrer passwords. Endvidere bør man, som med alle andre systemer, tilsikre at der løbende laves backup af kritisk data,« bemærker CSIS i sikkerhedsmeddelelsen.

Ifølge Googles anti-virusproduktoversigt www.virustotal.com bliver malwaren detekteret under forskellige navne af de relativt få antivirusprogrammer, der faktisk detekterer den i skrivende stund. Blandt andet kaldes den ELF/Filecoder.A og Trojan-Ransom.Linux.Cryptor.a

Brian Krebs, der står bag it-sikkerhedsbloggen KrebsonSecurity, bemærker, at ransomwaren ser ud til at være rettet mod websites. Hvilket de filtyper, CSIS har identificeret, malwaren går efter, også ser ud til at indikere. Ud over de tidligere nævnte filtyper går den eksempelvis efter .css, .ruby og derudover en stribe mediefiler. Herunder .mp3, .avi, .mp4 og .wmv.

Krebs bemærker, at malwaren typisk bliver skudt ind på websites via kendte sårbarheder i plugins eller tredjepartssoftware som eksempelvis en indkøbskurvsfunktionalitet. Og når den er på host-maskinen, går den så i gang med at kryptere indholdet på serveren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Frithiof Andreas Jensen

Det virker lidt amatøragtigt. Man behøver jo ikke være "root" for at kryptere sine egne filer.

Faktisk kan man nok ting som "user" på Linux til at det faktisk er en begrænsning for malwaren at den også lige skal knække "root" før den kommer til det med at tjene penge.

  • 2
  • 0
Jesper Lund Stocholm Blogger

Det virker lidt amatøragtigt. Man behøver jo ikke være "root" for at kryptere sine egne filer.


Næeh - men det lyder som om, at dette er den "første" "in-the-wild" virus på Linux, der går direkte efter slutbrugerne - og måske derfor en slags "Proof-of-concept"-ting. At kræve admin-niveau for dette giver dem jo værdifulde data for, hvor mange på Linux man kan forvente vil afvikle denne med hævede privilegier.

Det er lidt ligesom Nigeria-breve. Jeg læste for noget tid siden, at selvom "almindelige mennesker" vil sige, at "det ville jeg aldrig hoppe på", så vil der med 10 millioner modtagere af et sådan brev altid være nogen, der hopper på den. Og netop disse er tilpas "naive" (host!) til at afsenderne kan bruge dem til næste skridt. Hvis de lavede Nigeria-brevene mere "grundigt", så ville mange flere hoppe på den, men de ville ikke nødvendigvis være så dumme, at de ville ende med at sende penge, og det ville for afsenderne være spild af tid at bruge mere energi på dem.

  • 1
  • 0
Christian Lynbech

Ud fra beskrivelsen er det vel ret oplagt hvorfor denne malware ønsker at være root. Target er ikke almindelige brugere men web-servere og her kan man dels ikke vide om man er en relevant bruger og dels er man tydeligvist også ude efter selve server konfigurationen.

Det er naturligvis ikke det samme som at tilsvarende effekter kunne have været opnået enklere eller smartere på en anden måde uden at være root.

  • 2
  • 0
Log ind eller Opret konto for at kommentere