image

Linuxgebruikers doelwit van nieuwe ransomware

vrijdag 6 november 2015, 17:04 door Redactie, 24 reacties

Onderzoekers van het Russische anti-virusbedrijf Doctor Web hebben ransomware ontdekt die het op Linuxgebruikers heeft voorzien. Hoe de "Linux Encoder" ransomware zich verspreidt laat de virusbestrijder niet weten. De malware heeft het vooral voorzien op webmasters en webservers.

Zodra de ransomware met beheerdersrechten kan starten zal die onder andere een bestand met instructies voor het slachtoffer downloaden en de bestanden versleutelen. Het gaat in dit geval om bestanden in home directories en directories die met het beheer van de website samenhangen. Hierna worden alleen bestanden met specifieke extensies en bepaalde directorynamen versleuteld. De versleutelde bestanden krijgen een .encrypted extensies.

Ook wordt er in elke directory met versleutelde bestanden het bestand met instructies geplaatst. Daarin staat dat het slachtoffer 1 bitcoin moet betalen, wat met 360 euro overeenkomt. De ransomware heeft volgens Doctor Web al meer dan 10 slachtoffers gemaakt. Het anti-virusbedrijf adviseert slachtoffers om contact met de technische afdeling van het bedrijf op te nemen. Om de bestanden te ontsleutelen is het volgens de virusbestrijder belangrijk dat gebruikers ze niet aanpassen of verwijderen, anders kunnen de versleutelde data permanent verloren gaan.

Reacties (24)
06-11-2015, 17:27 door SPlid
Zodra de ransomware met beheerdersrechten kan starten zal die onder andere een bestand met instructies voor het slachtoffer downloaden en de bestanden versleutelen

Een reden temeer om niet per default in te loggen met een root-equivalent id als dat niet noodzakelijk is.

Als deze beheerder in God modus per ongelijk op een linkje klikt, een bestand opent oid, is het systeem en mogelijke shares het haasje.
06-11-2015, 17:48 door Anoniem
Door SPlid:
Zodra de ransomware met beheerdersrechten kan starten zal die onder andere een bestand met instructies voor het slachtoffer downloaden en de bestanden versleutelen

Een reden temeer om niet per default in te loggen met een root-equivalent id als dat niet noodzakelijk is.

Als deze beheerder in God modus per ongelijk op een linkje klikt, een bestand opent oid, is het systeem en mogelijke shares het haasje.

Dat maakt dus niet uit. Het gaat om je home directory, dus je eigen rechten. Dus ook een normale user heeft problemen, want al je documenten in je home map worden ge-encrypt. Maar als je je user in allerlei groepen zet, met groepsschrijfrechten, ben je helemaal de pineut.

TheYOSH
06-11-2015, 18:24 door Anoniem
Hoe de "Linux Encoder" ransomware zich verspreidt laat de virusbestrijder niet weten.

Waar slaat dát dan weer op? Het maakt het verhaal meteen hartstikke ongeloofwaardig. Ik zeg niet dat het onmogelijk is dat er malware voor Linux ontwikkeld kan worden. Maar door iets te roepen, en dan vervolgens niets vertellen over het "hoe-en-wat", dat is natuurlijk vaag.

Zodra de ransomware met beheerdersrechten kan starten...

Ja hoor, zo lust ik 'm ook! Dus als er geen rootrechten verkregen kan worden, dan kan het niets uitrichten. What's the fuzz? Bangmakerij voor eigen gewin dus. Wat een flut....
06-11-2015, 18:30 door Skizmo
De ransomware heeft volgens Doctor Web al meer dan 10 slachtoffers gemaakt.
Oeh... pas maar op... straks worden het er mischien wel 20.
06-11-2015, 18:48 door Anoniem
Zo zie ja maar weer: ook Linux is niet waterdciht!
06-11-2015, 19:12 door Anoniem
Door Anoniem: Zo zie ja maar weer: ook Linux is niet waterdciht!
Kun jij een OS noemen die wél waterdicht is dan?
06-11-2015, 19:21 door Anoniem
Tja, wazig verhaal weer.
Ik overweeg om de snelkoppeling in mijn browser naar security.nl te verwijderen.
Ik lees allemaal items over lekken, spyware, backdoors, trojans, maar nog geen 1 artikel tegengekomen, waar je iets mee kunt.
06-11-2015, 19:27 door Anoniem
Tuurlijk bestaan er virussen voor linux, hoe dom kun je anders zijn... als er mensen denken dat er écht nooit virussen uitkomen voor linux, dan snap je het principe van het OS gewoon niet.

Hint: blijf ALTIJD up-to-date met linux!

Waarschijnlijk is deze lek in linux al gedicht voordat de eerste advertenties daar over verschenen.
06-11-2015, 20:26 door [Account Verwijderd]
[Verwijderd]
06-11-2015, 22:13 door Anoniem
Dacht ik het niet: Dr. Web heeft ook anti-virusoplossingen voor Linux. Komt dat even goed uit zeg. En daar is het ook om te doen. Lekker doorzichtig weer allemaal... zucht!
06-11-2015, 22:29 door Anoniem
Door Anoniem:Waar slaat dát dan weer op? Het maakt het verhaal meteen hartstikke ongeloofwaardig. Ik zeg niet dat het onmogelijk is dat er malware voor Linux ontwikkeld kan worden. Maar door iets te roepen, en dan vervolgens niets vertellen over het "hoe-en-wat", dat is natuurlijk vaag.
Dus eerst is het voor jou meteen ongeloofwaardig en daarna is het vaag. Iemand die iets van beveiliging van webservers af weet, weet ook wat de risico's zijn en gaat niet meeteen klagen bij de eerste de beste terughoudendheid om aan iedereen te vertellen hoe malware op een webserver komt.

Zodra de ransomware met beheerdersrechten kan starten..Ja hoor, zo lust ik 'm ook! Dus als er geen rootrechten verkregen kan worden, dan kan het niets uitrichten. What's the fuzz? Bangmakerij voor eigen gewin dus. Wat een flut....
Als je even de moeite neemt om het oorspronkelijke bericht te lezen dan hebben ze het over administrators van websites. Als je dan niet verder komt dan denken aan een root user is nogal kort door de bocht.
06-11-2015, 22:40 door Anoniem
Het zou zomaar kunnen dat dr web het zelf ontwikkeld heeft.
Door te zeggen dat ze het ontdekt hebben wekken ze geen argwaan.
06-11-2015, 23:18 door Anoniem
Door Anoniem: Dacht ik het niet: Dr. Web heeft ook anti-virusoplossingen voor Linux. Komt dat even goed uit zeg. En daar is het ook om te doen. Lekker doorzichtig weer allemaal... zucht!
Ik ben er van overtuigd dat minstens de helft van de malware geschreven wordt door of in opdracht van de virusscanner
fabrikanten. Kijk maar eens naar de ellenlange lijsten van varianten van virussen die dan volgens de beschrijving niet of
nauwelijks in het wild voorkomen. Men heeft kennelijk de contacten om die niet in het wild voorkomende virussen
te krijgen en te scannen. En het steeds maar updaten van de signatures bevestigt de noodzaak om een (betaald)
abonnement aan te houden op zo'n dienst. Uiteraard moeten ook gebruikers van systemen waar niet zo veel virussen
voor zijn hier aan geloven.
07-11-2015, 10:43 door [Account Verwijderd]
[Verwijderd]
07-11-2015, 10:53 door karma4
Waar heeft Dr-Web het over: Web-omgevingen.
Gehackte websites is niet een bijzonder fenomeen het is een gangbaar iets. SQL injection is de goude ouden de laatste top 10 https://www.owasp.org/index.php/Top_10_2013-Top_10. Verbaast me dat A5 nog zo laag staat.
De webserver zonder confinement (SElinux) shared accounts en een zelf gebouwd identificatie/autorisatie mechanism voor de webtoegang. Het is de gangbare opzet. Wees dan niet verbaasd dat er zoveel lekken te vinden zijn en hacks gebeuren.

In plaats van kopieren van de data en die te proberen te verkopen wordt de data nu ge-encrypt.
Dat kan een beter verdienmodel zijn vooral als het terughalen (de restore) van de data op een schoon (!) system niet in de draaiboeken uitgewerkt is.
07-11-2015, 12:32 door Anoniem
Door Anoniem: Ik ben er van overtuigd dat minstens de helft van de malware geschreven wordt door of in opdracht van de virusscannerfabrikanten. Kijk maar eens naar de ellenlange lijsten van varianten van virussen die dan volgens de beschrijving niet of nauwelijks in het wild voorkomen. Men heeft kennelijk de contacten om die niet in het wild voorkomende virussen te krijgen en te scannen. En het steeds maar updaten van de signatures bevestigt de noodzaak om een (betaald)
abonnement aan te houden op zo'n dienst. Uiteraard moeten ook gebruikers van systemen waar niet zo veel virussen
voor zijn hier aan geloven.
Wie heeft het hier over een virus? Daar beginnen enkele lezers zelf bekrompen aan te denken (naast het ver gezochte beveiligingslek in Linux). Kennelijk lezers die niet snappen hoe hosten van websites werkt.
Ten tweede, er leven meer dan een MILJARD mensen op deze aardbol. 5% is ongeveer wel eens crimineel bezig. Zelfs al zou slechts 0,0001% zich jaarlijks een of twee keer per jaar bezich houden met geld verdienen aan het overnemen van andermans websites, maken van ransomware enz enz enz dan hebben we het hier over ruim een miljoen personen. Dat mensen die virussen en andere troep daarna niet zien en dan de beschermers gaan beschuldigen zegt mij meer over hoe makkelijk iemand een ander wenst te beschuldigen. Niet geremd door enige paranoia, emotie, onwetendheid en kortzichtigheid.
07-11-2015, 12:43 door Anoniem
Door MAC-user:Dat valt moeilijk te bewijzen natuurlijk, maar wel raar vind ik dat ik tot nu toe geen enkele sample op het internet ben tegengekomen.
Ik lees in dat bericht van dat bedrijfje dat ze pas enkele tientallen slachtoffers hebben gezien. Een slachtoffer valt waarschijnlijk op omdat de website niet meer werkt omdat bestanden niet meer in html of afbeelding formaat zijn. Wil dat zeggen dat er samples zijn? Waarschijnlijk alleen nog maar versleutelde bestanden.
07-11-2015, 13:59 door Anoniem
DrWeb ? Goh, bestaan die nog ?
07-11-2015, 14:57 door Anoniem
Dr. Web is meer voor Android OS, wil natuurlijk niet zeggen dat Linux niet vatbaar is, maar deze ransomeware heeft zo mijn twijfels. Ik zou me als thuis gebruiker echt nog geen zorgen maken. Voor mij geldt nog steeds LINUX rules..
07-11-2015, 19:23 door Anoniem
Dr. Web ? Ik ben meer bevreesd voor Dr. No ........ groeten, James Bond
08-11-2015, 15:01 door Anoniem
In dit geval, FUD?

Lijkt erop dat ze dit malware zelf hebben geschreven:

http://vms.drweb.com/virus/?i=7703983
09-11-2015, 08:27 door Anoniem
Anti virus bedrijven zijn geen charitatieve instellingen, en de beschuldigingen dat ze zelf verantwoordelijk zijn voor heel veel rottigheid op internet is daarom absoluut geloofwaardig te noemen. Onlangs was er een test waarin Microsoft haar virusscanner elke ontdekte virus onmiddellijk doorgaf aan een enorme database, die op haar beurt weer met vele computers verbonden was, en daarmee dus verspreiding van deze virussen bijna direct kon stoppen.
Dit is natuurlijk de toekomst, mits men erin slaagt het systeem te vrijwaren van inbrekers.
Dit betekend ook het einde van veel anti virus bedrijven, en dat zullen ze niet fijn vinden, en er mag verwacht worden, dat deze bedrijven alles, en dat betekend echt bijna alles wat in hun mogelijkheden ligt, zullen aanwenden om hun verdienmodel te behouden.
09-11-2015, 15:07 door Anoniem
Door Anoniem:
Hoe de "Linux Encoder" ransomware zich verspreidt laat de virusbestrijder niet weten.

Waar slaat dát dan weer op? Het maakt het verhaal meteen hartstikke ongeloofwaardig. Ik zeg niet dat het onmogelijk is dat er malware voor Linux ontwikkeld kan worden. Maar door iets te roepen, en dan vervolgens niets vertellen over het "hoe-en-wat", dat is natuurlijk vaag.

Volgens de laatste berichten betreft het Magento websites. De gebruikers van deze crypto hebben daar een lek in ontdekt.

Zodra de ransomware met beheerdersrechten kan starten...

Ja hoor, zo lust ik 'm ook! Dus als er geen rootrechten verkregen kan worden, dan kan het niets uitrichten. What's the fuzz? Bangmakerij voor eigen gewin dus. Wat een flut....

Afhankelijk van hoe Magento is geinstalleerd, kun je dan wel of geen adminrechten krijgen. Er zijn gelukkig providers die alle sites in een jail zetten, zodat de rest van de klanten er geen last van hebben.

Peter
09-11-2015, 20:51 door Anoniem
Door Anoniem: Zo zie ja maar weer: ook Linux is niet waterdciht!
Ook jouw spelling is niet waterdicht*.

on-topic: Geen enkel besturingssysteem is volledig waterdicht. Dan zou je er niets meer mee kunnen doen. Linux is juist zo fijn omdat het veel opties biedt.

"With great power comes great responsibility."
Vaak wordt Linux wel gebruikt door mensen die er wat meer verstand van hebben. En wordt het in een minderheid gebruikt. Hierdoor zijn aanvallen dus "minder voorkomend". Neemt niet af dat webservers wel redelijk grote targets zijn, een bedrijf zal meer betalen voor een decryptiesleutel dan de gemiddelde consument. Mocht het bedrijf slim genoeg zijn om geen back-ups te hebben. (Of dat deze ook meegenomen zijn in de encryptie)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.