Linux.Encoder.1

Linux.Encoder.1 ist dafür bekannt, eine Art von Ransomware zu sein. Der Hauptgrund, aus dem das russische Antivirus- und Sicherheitsunternehmen Dr.Web ihr einen solchen Namen gegeben hat, ist die Tatsache, dass die Malware Linux.Encoder.1 es auf Websites abgesehen hat, die auf dem Linux-Betriebssystem basieren. Diese Schadanwendung hat bereits Hunderte von Websites in Mitleidenschaft gezogen, obwohl sie erst vor Kurzem entdeckt worden ist. Gemäß den Experten zielt diese Bedrohung auf Website-Administratoren ab, die in erster Linie Geräte mit Web-Servern haben. Dies ergibt sich aus den Verzeichnissen, in denen die Linux Ransomware gewöhnlich Dateien verschlüsselt. In diesem Artikel erklären wir Ihnen außerdem im Einzelnen, wie der Linux.Encoder.1 fungiert.

Um ordnungsgemäß zu funktionieren, braucht der Linux.Encoder.1 Administrator-Rechte. Sobald diese Malware diese Rechte erhält, lädt sie ./readme.crypto herunter (eine Datei mit den Forderungen der Cyber-Kriminellen) und ./index.crypto (eine HTML-Datei mit den Forderungen der Cyber-Kriminellen). Außerdem lädt der Linux.Encoder.1 auch eine Datei herunter, die einen Pfad zu einem öffentlichen RSA-Schlüssel enthält. Des Weiteren ist es Experten aufgefallen, dass die Linux Ransomware Dateien in Home-Verzeichnissen und denjenigen Verzeichnissen verschlüsselt, die mit Website-Administratoren verbunden sind. Mit anderen Worten, sie verschlüsselt alle Dateien in den folgenden Verzeichnissen: /home, /root, /var/lib/mysql/, /var/www, /etc/nginx/, /etc/apache2 und /var/log. Danach wird sie sofort eine andere Aktivität durchführen – Dateien verschlüsseln, die in anderen Verzeichnissen vorhanden sind, und ihre Namen beginnen mit public_html, www, webapp, backup, .git und .svn. An diesem Punkt verschlüsselt der Linux.Encoder.1 eine Reihe von verschiedenen Dateien, einschließlich .php, .html, .wav, .pub, .docx, .dll, .avi, .ruby, .rar, .zip, .pdf, .jpg und viele andere. Wie Sie sehen können, wirkt sich der Linux.Encoder.1 auf Software-Pakete, Text-Dokumente, Videos, Musik, Bilder und viele andere wichtige Dateien aus. Diese Schadsoftware verwendet den AES-Schlüssel (AES-CBC-128), um alle diese Dateien zu verschlüsseln.

Das erste Symptom, für das der Linux.Encoder.1 bereits gesorgt hat, ist die Erweiterung .encrypted, die an alle verschlüsselten Dateien angehängt wurde. Außerdem sollen die README_FOR_DECRYPT.txt-Dateien wie es scheint in jedes Verzeichnis gelegt werden, das verschlüsselte Dateien enthält. Wenn Sie diese Datei öffnen, werden Sie die Informationen bemerken, die besagen, dass „Your personal files are encrypted! Encryption was produced using a unique public key RSA-2048 generated for this computer” („Ihre persönlichen Dateien verschlüsselt sind! Die Verschlüsselung wurde unter Verwendung eines spezifischen öffentlichen Schlüssels RSA-2048 für diesen Computer erzeugt”). Darüber hinaus werden Sie sehen, dass Sie gebeten werden, 1 Bitcoin (ca. 420 USD) zu zahlen, um diesen privaten Schlüssel zu erhalten und Ihre Dateien zu entschlüsseln. Sie können das Geld zahlen oder warten, bis unsere Sicherheitsexperten ein Tool zur Entschlüsselung von Dateien entwickelt haben. Stellen Sie inzwischen sicher, dass Sie keine Dateien ändern oder löschen, weil Sie sie dann ganz verlieren könnten.

Wenn Sie sich fragen, wie die Linux.Encoder.1-Malware verbreitet wird, sollten Sie wissen, dass diese Infektion über Schwachstellen in Plugins oder Drittanbieter-Anwendungen eingefügt werden, z. B. in das Einkaufswagen-Programm Magento; dieses wird zur Verwaltung von E-Commerce-Zahlungen verwendet. Machen Sie sich keine Sorgen; Experten haben die Magento-Schwachstelle bereits wieder in Ordnung gebracht; kleinere Websites sollen jedoch immer noch Schwachstellen für Linux-Ransomware und andere ähnliche Malware enthalten. Um in Zukunft Malware-Angriffe zu verhindern, müssen Administratoren solcher Websites kritische Updates installieren. Genauer gesagt, sie müssen die wichtigsten Patches aktualisieren. Außerdem ist es auch sehr wichtig, eine Sicherungskopie der Website zu haben, falls es einen Malware-Angriff gibt.

Antwort schreiben