Amatőr kódolta a Linux.Encoder.1 ransomware-t, automatikus kititkosító eszközt tett elérhetővé a Bitdefender

 ( trey | 2015. november 11., szerda - 18:56 )

A napokban jött a hír, hogy felbukkant egy fájltitkosító ransomware Linux-ra (és FreeBSD-re). A Linux.Encoder.1 ransomware a Magento webáruház egy sebezhetőségét használja ki. Szerencsére amatőr kódolta a ransomware-t, így a Bitdefender-nek nem került nagy erőfeszítésébe egy Decrypter scriptet írnia, amellyel a titkosított fájlok visszaállíthatók eredeti állapotukra.

Idézet:
However, a major flaw in the way the Encoder Trojan is designed allowed Bitdefender researchers to recover the AES key without having to decrypt it with the RSA private key. [...] We mentioned that the AES key is generated locally on the victim’s computer. We looked into the way the key and initialization vector are generated by reverse-engineering the Linux.Encoder.1 sample in our lab. We realized that, rather than generating secure random keys and IVs, the sample would derive these two pieces of information from the libc rand() function seeded with the current system timestamp at the moment of encryption. This information can be easily retrieved by looking at the file’s timestamp. This is a huge design flaw that allows retrieval of the AES key without having to decrypt it with the RSA public key sold by the Trojan’s operator(s).

A Decrypter letölthető innen. A Bitdefender elemzése itt olvasható.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Botondnak lesz igaza. Csak egy albán vírusról van szó.

Végre valami jó hír. Hamarost megjelenik a Linux.Encoder.2, amiben ezt a hibát már kijavítják, azt is kivesézi valamelyik jónevű antivírus-cég, és végre a harmadik verzió teljesen jól fogja használni az eszközöket, és lesz egy fasza, immár Linux - és FreeBSD - alatt is pénzt termelő ilyen szar.

A semi-pro shared hosting szolgáltatók ügyfelei boldogak lesznek, a google megmondja, hogy van néhány hely ahol végigszántott az összes ügyfelen (látszik a readme_for_decrypt.txt-be, hogy egy domain tök más domainen keresztül fertőzöd meg). :D
Ők meg azt az 1 bitcoint csak ki tudják termelni, ha már a szeparáció ennyire nem megy. :)

A Linux és a FreeBSD még ebben is le van maradva... :P

iteratív fejlesztési model :-)... lehet agilis fejlesztő írta... sebaj majd a következő turn-ben jó lesz :-D

Update: [...] Upon investigation we were surprised to find out that some victims were infected more than one time (the ransomware was accidentally started more than once).
This means that some files were encrypted using a key, and others using another set of keys. However, in so doing, the race condition generated leads to some files getting irreparably damaged (their content is truncated to zero). And in some cases even the ransom notes became encrypted!

facepalm


I hate myself, because I'm not open-source.

Túltolták a letsencrypt-et. :P

A szerző gépén is elindulhatna, titkosítva a forráskódot (is)..

Cseszhetik a pénzüket. A saját feloldókulcs se segít :)

"Amatőr kódolta a Linux.Encoder.1 ransomware-t"

Mondjuk ez után lehet inkább ezt kéne idézzem:
This isn't your average everyday stupid.. This is ... Advanced stupid"
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

"Download does not exist!"

Vagy a Bitdefendernek is kell fizetni a kititkosításért?

Tegnap óta kiadtak egy újabbat. A hivatkozott cikket frissítették... Belenéztél?

--
trey @ gépház