Login
Newsletter
Werbung

Thema: Linux.Encoder.1: Verschlüsselungstrojaner unter Linux

26 Kommentar(e) || Alle anzeigen ||  RSS
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
4
Von KarlWarl am Mo, 9. November 2015 um 10:44 #

Das ist ein typischer "Linux / Android Virus", man muss ihn sich selbst runterladen und dann installieren. Ich zittere. ;)

[
| Versenden | Drucken ]
  • 2
    Von seppl am Mo, 9. November 2015 um 11:23 #

    jfi, es ibt schöne aktive downloader - wir hatten genau dieses ding durch einen ungepatchten magento shop auf einem Server grad vor ein paar tagen. "aktiv" runterladen ist also durchaus nicht unbedingt "selbst" ;-)
    der Kunde war froh um ausreichend Backups. Da war der schaden zwar eben nur auf den Userbereich und ein paar Files in /tmp auf den der Trojaner zugreifen konnte, aber es war durchaus schaden da.
    Daher auch an Webpräsenzen: aufgepasst!!! immer schön patchen!

    [
    | Versenden | Drucken ]
    1
    Von foobar am Mo, 9. November 2015 um 14:32 #

    In Zeiten von copy & paste sucht sich doch jeder Anfaenger irgendwelche Hilfe in chats oder tutorials in dubiosen Foren zusammen, um seinen Rechner oder dedizierten Server "aufzusetzen". Schnell hat man dann per copy & paste irgendeine Befehlszeile oder script ausgefuehrt, welcher Schadcode nachladen kann. Das ist jetzt naturlich nichts neues.

    [
    | Versenden | Drucken ]
3
Von Schlupf am Mo, 9. November 2015 um 10:50 #

Da heutzutage ja jeder sudo für alles verwendet, so wie es von ubuntu eingeführt wurde, sehe ich durchaus ein erhöhtes Schadenspotential.

Sowas wie die folgende session ist nicht unüblich und habe ich schon häufig gesehen:
sudo ls -l
sudo cd /tmp
sudo wget http://www.werdasrunterlaed.com/ist/ein/idiot/bla.sh
sudo ./bla.sh
sudo firefox

wohlgemerkt in ein und der selben Session. Nur daß das bla.sh sowas wie PHP composer oder phar ist...

Klar kann man argumentieren, daß solchen Leuten nicht mehr zu helfen ist. Ist es auch nicht mehr. Nur ich habe das jetzt schon häufig gesehen und werde auch regelmäßig von unseren Entwicklern genötigt, das supertolle neue PHP addon auf die Weise runterzuladen und zu installieren. Wenn ich dann insistiere, und eine vertrauenswürdige, stabile und sichere Quelle haben möchte, dann stellt sich meistens raus, daß es in dem Umfeld keine dazu gibt. Zudem heißt es dann immer: "Aber wir haben das jetzt so implementiert und wir brauchen das und morgen geht die neue Version online und wenn das nicht geht, dann verliert $COMPANY viel Geld."

Mit diesen Vorzeichen sehe ich eine große Verbreitung dieses Schädlings.

[
| Versenden | Drucken ]
1
Von user am Mo, 9. November 2015 um 12:07 #

Naja solche Meldungen hauen mich nicht um, sowas wie "Sicherheit" gibt es nicht wirklich weder bei Betriebssysteme, Anwendungen oder im wirklichem Leben. Man kann gewisse Dinge beachten und durch irgendwelche Dinge einen "Einbruch" erschweren.

Un mal ehrlich, die ganze IT Welt ist doch eine reine Wirtschafts Industrie, sowas wie ein Personal Computer gibts doch nicht mehr, es sind alles Konsumgüter und das WWW und das Internet, wird bald auch so sein.

Und es gibt immer weniger Menschen die die Vorteile von einen Unix System erkennen, die User wollen Anwendungen und Umgebungen haben wo sie Geld und noch mehr Geld verdienen wollen. Es ging nie um Freiheit oder eine bessere Welt.

[
| Versenden | Drucken ]
2
Von Iridias am Mo, 9. November 2015 um 12:08 #

Da fällt mir spontan wieder der hier ein:

..//////..
...(o)(o)...
..( ~ )..
.....(_)..... Güden Dooch !
....(_)..
...(_)....
...(_)..... isch bin een Hägga aus Leipzsch
..(_)....
..(_).... un diss iss een selbstprögrammirder
...(_).....
....(_)... bösartscher Gömpjuderwurm..
.....(_)....
.....(_)....
....(_)...
...(_).. Da isch noch net sö viel weeß vom Gömpjuder
...(_).....
...(_)... iss des een manueller Wurm.
..(_)....
..(_).....
...(_)...
...(_).... Also löschen se bidde
....(_)....
...(_)... alle Dadeien von de Festpladde
...(_)..
..(_)... ünd schickese n Wurm
..(_)...
.(_).... an alle, die se gänn
..(_).....
...(_)... ünd die se ärschern wolln!
....(_)...
...(_)....
...(_)...
..(_).

Vielen Dank für Ihre Middorbeid

[
| Versenden | Drucken ]
mehr Lob
2
Von Conian am Mo, 9. November 2015 um 12:14 #

Da muss man den Autor und Pro-Linux auch mal loben - Auf den meisten anderen Websites hieß die Überschrift vermutlich "Hochgefährlicher Virus für Linux!!! Sollten Nutzer nun doch zu Windows wechseln?" :D

[
| Versenden | Drucken ]
  • 1
    Von Fei am Mo, 9. November 2015 um 12:41 #

    Ja, das stimmt. Aber es heisst trotzdem "nicht vor Gefahren gefeit" und nicht "nicht vor Gefahren gefeilt"

    [
    | Versenden | Drucken ]
1
Von König Purzel der Erste am Mo, 9. November 2015 um 13:09 #

Man muss also den Linux.Encoder 1 auf die Platte laden, dann mit root Privilegien installieren.

Danach, laut Dr.Web geht es dann los..alles in RSA/AES 128

(Frage mich gerade ob Dr.Web nicht eigentlich Dr.Sommer ist )

At that, the Trojan encrypts only files with the following extensions:

".php", ".html", ".tar", ".gz", ".sql", ".js", ".css", ".txt" ".pdf", ".tgz", ".war", ".jar", ".java", ".class", ".ruby", ".rar" ".zip", ".db", ".7z", ".doc", ".pdf", ".xls", ".properties", ".xml" ".jpg", ".jpeg", ".png", ".gif", ".mov", ".avi", ".wmv", ".mp3" ".mp4", ".wma", ".aac", ".wav", ".pem", ".pub", ".docx", ".apk" ".exe", ".dll", ".tpl", ".psd", ".asp", ".phtml", ".aspx", ".csv"

Mal abgesehen davon, dass man ein kompletter Vollhorst sein muss, um auch hier nichts zu bemerken, gibt es ja doch dann eine Lösung..

Ganz zufällig, wer hätte das gedacht, kann Dr.Web auf RSA/AES 128..

"Currently, Doctor Web security researchers are working on a technology that can help decrypt data encrypted by this malicious program.

On the loaded OS, run a full scan of all disk partitions using the Dr.Web Antivirus for Linux"...bla bla bla

/dev/null

[
| Versenden | Drucken ]
  • 1
    Von Dr. Web Homepage am Mo, 9. November 2015 um 13:19 #

    siehe unten

    "Doctor Web ist ein führender russischer Anbieter hauseigener IT-Sicherheitslösungen. Dr.Web Antivirensoftware wird seit 1992 permanent weiterentwickelt und weist hervorragende Ergebnisse bei der Erkennung und Beseitigung"

    :D

    [
    | Versenden | Drucken ]
1
Von seppl am Mo, 9. November 2015 um 14:57 #

nur um das nochmal klarzustellen, was ich weiter oben schonmal andeutete. Es gehen im Moment auch Bots durchs netz, die nachSchwachstellen in Webanwendungen (magento,wordpress,joomla etc) suchen umd dann dort den genannten Trojaner einzuschleusen und auszuführen.
Das ding braucht auch kein root um Dateien zu verschlüsseln, es reicht einem ja schon wenn einem sein Home verschlüsselt wird ..oder wie in Hosting umgebungen eben public_html oder htdocs :-)

Das Einfallstor ist zwar nicht der gefährliche o.g. Trojaner, aber dieser kann in einer Hostingumgebung auch Schaden anrichten.
In dem von mir genannten Fall war ein magento shop ungepatcht und wurde dann komplett encrypted und der Betreiber quasi erpresst. Wir hatten Backups vom Vortag udn die Lücke schnell identifiziert, daher war der Schaden gering.
Wenn man nun selbiges erlebt ohne Backups, mag man die Gefährlichkeit eines solchen Trojaners ganz anders einschätzen als viele hier :-)
daher nochmal: das man das ding "aktiv" einspielen muß, heisst noch lange nicht, daß man das selbst macht vor lauter Dummheit. Jegliche Sicherheitslücke die einem ermöglicht Schadcode einzuschleusen und dann eine Netzverbindung/shell zu öffnen ist dann schon "geeignet" um Opfer dieses dingens zu werden.
Bei 25% Wordpress anteil und nur einem Zeroday bei dem ein bot diesen Trojaner einspielt, 'könnte' das ganze schon recht schnell zu einem Massenproblem werden ;-)

Also bitte nicht alles so simpel als Dummheit von Benutzern abtun...man ist unter Umständen ganz schnell selbst der Dumme.

[
| Versenden | Drucken ]
  • 1
    Von spaetschicht am Mo, 9. November 2015 um 15:46 #

    Bei 25% Wordpress anteil ....

    seh ich auch so.

    Hier ist ne schöne Tabelle dazu
    Interessant ist dort auch das "Wachstum" der gelisteten CMS. Ne größere Tabelle über die gelisteten Cms gibt es hier zu lesen

    [
    | Versenden | Drucken ]
    1
    Von Peekaboo am Mo, 9. November 2015 um 17:01 #

    Also bitte nicht alles so simpel als Dummheit von Benutzern abtun...man ist unter Umständen ganz schnell selbst der Dumme.

    Kann man nur unterstreichen. In Kombination mit anderen Exploits kann das durchaus böse werden, ohne das man was dazu tut.

    [
    | Versenden | Drucken ]
    1
    Von ms123 am Di, 10. November 2015 um 03:46 #

    Wenn man keine Backups hat , dann ist es doch scheißegal ob man seine Daten durch einen Plattencrash oder einen Virus verliert.
    Über kurz oder lang sind sie sowieso weg.

    [
    | Versenden | Drucken ]
    0
    Von schmidicom am Di, 10. November 2015 um 11:49 #

    Ein Server der irgendwelche Dienste (egal ob nun HTTP/HTTPS oder etwas anderes) ins Internet hängt ist trotzdem etwas anderes als eine 0815 Dose welche für ein bisschen Surfen und Mailen herhalten muss. Ein Profi macht Backups und versucht sein Ding so sicher zu machen wie möglich während die Privaten stellenweise echt einfach alles anklicken was ihnen unter den Cursor kommt.

    [
    | Versenden | Drucken ]
    • 1
      Von spaetschicht am Di, 10. November 2015 um 17:13 #

      was nun?

      Ich will es mal gutmütig beantworten:
      Die meistgenutzten Dienste werden für wenige Pfennige ( Cents) angeboten. Bei dutzenden Anbietern kannste dir für nen Euro nen Webshop mit phpgeraffel etc zusammenklicken. Selbst Virtual Server gibt es für kleines Geld.
      Solche sind IMHO viel gefährdeter, als die Clients hinter ner genatteten Blackbox.
      Auf Golem wird grad von nem aufgemachten Magento Shop mit dem encoder1^ransomware berichtet ( LINK) Wenn ich jetzt in die Tabelle von w3techs.com reinschau (die ich weiter oben unter Seppls Comment verlinkt habe) dann ist grad mal mit 1,2% im Netz vertreten. Sollte in nächster zeit ein Bot rumlaufen, der WP aufmacht (laut der dortigen Tabelle jeder 4. Server!) und dort den encoder durchlaufen lassen - dann wird das Gejaule recht groß sein - viel großer, als wenn Clients betroffen wären ...
      mom - mein Telefon klingelt - ich hab Arbeit :P

      [
      | Versenden | Drucken ]
1
Von Mike J. am Mo, 9. November 2015 um 23:28 #

Manchmal installiert man sich ganz einfach ein Programm von jemanden anderes oder was man auf einer Webseite gefunden hat weil im Repository nicht alle Programme drin sind.

Ich würde es gut finden wenn dieses Programm dann quasi einen eigenen Programm-Ordner hat aus dem es nicht raus kann.
Also z.B.: installiert in "/home/ich/meineProgramme/dbmwattconverter/"

Jetzt sollte es so sein dass "dbmwattconverter" nicht auf Dateien außerhalb von "dbmwattconverter" zugreifen kann.

Wenn ich eine Datei (ein Bild oder eine Textdatei) mit dem Programm "dbmwattconverter" öffnen möchte dann müsste die Suchmöglichkeit im Home-Ordner über einen Linux-internen Dateibrowser geschehen.

Das Programm "dbmwattconverter" bekommt die Datei dann nur noch vom Dateibrowser.

Der Zugriff auf Bibliotheken passiert wie bisher.

Zudem wäre es noch ein Vorteil wenn das Programm "dbmwattconverter" nicht einfach auf das Internet zugreifen könnte.

Unter Win7 kann ich ja auch die Firewall aktivieren, allen Programmen den Internetzugriff verweigern und nur den wichtigsten Programmen (Browser, Mail, Antivir) den Zugriff auf das Internet erlauben.

Sowas fehlt für Linux.

[
| Versenden | Drucken ]
  • 1
    Von 1ras am Di, 10. November 2015 um 01:16 #

    Manchmal installiert man sich ganz einfach ein Programm von jemanden anderes oder was man auf einer Webseite gefunden hat weil im Repository nicht alle Programme drin sind.

    Ich würde es gut finden wenn dieses Programm dann quasi einen eigenen Programm-Ordner hat aus dem es nicht raus kann.
    Also z.B.: installiert in "/home/ich/meineProgramme/dbmwattconverter/"

    Jetzt sollte es so sein dass "dbmwattconverter" nicht auf Dateien außerhalb von "dbmwattconverter" zugreifen kann.

    chroot

    Wenn ich eine Datei (ein Bild oder eine Textdatei) mit dem Programm "dbmwattconverter" öffnen möchte dann müsste die Suchmöglichkeit im Home-Ordner über einen Linux-internen Dateibrowser geschehen.

    Jetzt musst du dich mal entscheiden, soll das Programm außerhalb seines Installationsverzeichnisses zugreifen können oder nicht? Ein bisschen zugreifen geht nicht, wenn es um Sicherheit geht.

    Das Programm "dbmwattconverter" bekommt die Datei dann nur noch vom Dateibrowser.

    Und umgeht damit dein Sicherheitskonzept auf simpelste Art und Weise.

    Der Zugriff auf Bibliotheken passiert wie bisher.

    Wenn es dir nur um eine Abschottung deiner Daten geht, dann installiere das Programm unter einer anderen UID. Für Daten welche von mehreren UIDs aus zugegriffen werden soll, richtest du die Rechte entsprechend ein.

    Zudem wäre es noch ein Vorteil wenn das Programm "dbmwattconverter" nicht einfach auf das Internet zugreifen könnte.

    Unter Win7 kann ich ja auch die Firewall aktivieren, allen Programmen den Internetzugriff verweigern und nur den wichtigsten Programmen (Browser, Mail, Antivir) den Zugriff auf das Internet erlauben.

    Sowas fehlt für Linux.

    Kannst unter Linux auch machen, sogar basierend auf der UID unter welcher ein Programm läuft.

    [
    | Versenden | Drucken ]
    0
    Von schmidicom am Di, 10. November 2015 um 08:25 #

    Ich glaube kaum das sich Programme, welche nicht darauf ausgelegt sind, so einfach "einsperren" lassen ohne das dabei irgendetwas massiv schief geht. Auch unter Android ist der Weg hin zu entziehbaren Rechten erst am Anfang und erfordert die Mitarbeit der App-Entwickler.

    [
    | Versenden | Drucken ]
0
Von Atalanttore am Mi, 11. November 2015 um 20:53 #

Andere führen Programme aus unbekannter Herkunft mit root-Rechten aus.

Von einer Minderheit wird der Trojaner mit Sicherheit ausgeführt werden.

[
| Versenden | Drucken ]
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung