Eerste Linux-ransomware alweer onschadelijk gemaakt

  • November 24, 2015
  • 0

Admins die last hadden van de nieuwe ransomware die Linux-systemen infecteert kunnen van geluk spreken: er is een tool om de bestanden te ontsleutelen. Eerste Linux-ransomware alweer onschadelijk gemaakt Admins die last hadden van de nieuwe ransomware die Linux-systemen infecteert kunnen van geluk spreken: er is een tool om de bestanden te ontsleutelen.

Beveiligingsbedrijf Bitdefender maakte een tool op basis van een grote fout in het versleutelingsproces van de malware. Die maakt bestanden onbereikbaar met een AES-implementatie die dezelfde sleutel gebruikt voor de encryptie als de decryptie. De AES-sleutel wordt vervolgens versleuteld met asymmetrisch versleutelingsprotocol RSA.

 

Willekeurige data niet willekeurig

In plaats van een enkele sleutel, gebruikt RSA een sleutelpaar met een publieke en een privésleutel. De publieke wordt gebruikt om data te versleutelen en de privésleutel om data te ontsleutelen. In het geval van de Linux-malware wordt het sleutelpaar aangemaakt op de server van de aanvaller. Alleen de publieke RSA-sleutel wordt naar besmette systemen gestuurd en deze wordt gebruikt om de AES-sleutel te versleutelen.

Als dat correct is geïmplementeerd is het niet mogelijk om de bestanden te ontsleutelen zonder de privésleutel die de aanvaller heeft. Maar de Bitdefender-onderzoekers ontdekten dat bij het aanmaken van de AES-sleutel een slechte bron wordt gekozen voor het genereren van willekeurige data: de tijd en datum van het moment van encryptie.

Python-tool bevrijdt bestanden

De timestamp is makkelijk te achterhalen door te kijken wanneer de AES-sleutel is aangemaakt op de schijf. Daarmee kunnen onderzoekers het proces omkeren en de AES-sleutel achterhalen zonder die te hoeven ontsleutelen. Daarmee is de RSA-laag met het sleutelpaar zinloos geworden. De tool, die is geschreven in Python, analyseert de bestanden die zijn gegijzelde met de ransomware en achterhaalt de benodigde AES-sleutel om ze te bevrijden.

De onderzoekers zeggen in een blogpost dat als je het OS kunt booten en je de tool als root kunt draaien, je de gijzelingsactie ongedaan kunt maken. De blogpost bevat gedetailleerde instructies over hoe je de tool moet gebruiken.

Ongetwijfeld zien we binnenkort een nieuwe variant van Linux.Encoder die dezelfde fout vermijdt of heel nieuwe Linux-malware die beter functioneert dan dit exemplaar. Ook Mac OS X is niet immuun voor dit soort malware, zoals een onderzoeker onlangs demonstreerde (filmpje).