Neuer Krypto-Trojaner erpresst Betreiber von Linux-Servern

Server, Datenzentrum, Hosting Bildquelle: SAP
Die Entwickler von Ransomware haben ein neues Ziel ausgemacht, von dem sie möglicherweise Geld erpressen können. Die Sicherheitsforscher von Dr. Web haben einen neuen Krypto-Trojaner ausgemacht, der nicht etwa einzelne Nutzer angreift, sondern die Linux-Webserver von Unternehmen.

Linux.Encoder.1Erpressungs-Botschaft von Linux.Encoder.1
Die Masche bleibt dabei gleich: Gelingt es der Malware auf dem jeweiligen System aktiv zu werden, sucht sie nach möglicherweise wichtigen Dateien und verschlüsselt diese mit einem geheimen Key. Während dies bei Privatnutzern vor allem Office-Dokumente, Bilder und ähnliches betraf, die man eigentlich nicht verlieren will, geht es nun aber um wichtige Dateien für die Webanwendung.

Der fragliche Trojaner, der Linux.Encoder.1 getauft wurde, durchsucht hierfür das gesamte Dateisystem nach möglichen Zielen. Verschlüsselt werden dann beispielsweise die Verzeichnisse, in denen die Webserver standardmäßig Daten erwarten, MySQL-Ordner und auch das komplette User-Verzeichnis. Hinzu kommen alle möglichen Dateien, die mit Webanwendungen in Zusammenhang stehen könnten, sowie möglichst alles, was den Eindruck erweckt, einem Backup zu dienen.

In den jeweiligen Verzeichnissen werden dann Mitteilungen hinterlassen, die darüber informieren, wie man seine Daten wiederbekommen kann. Die Erpresser verlangen hier die Überweisung von einem Bitcoin im Wert von rund 420 Dollar. Im Gegenzug soll man dann einen Key erhalten, der eine Entschlüsselung der Dateien erlaubt.

Gut beraten ist man dann, wenn ein Backup existiert, an das die Täter nicht herankamen. Ein solches sollte also möglichst regelmäßig erstellt und entweder auf einem Offline-Medium oder zumindest einem anderen Server hinterlegt werden. Denn es ist kaum möglich, die Verschlüsselung ohne den passenden Key einfach zu brechen. Linux.Encoder.1 setzt immerhin auf ein Public-Key-Verfahren mit einem 2.048-Bit-Schlüssel. Auf welchem Weg die eigentliche Infektion erfolgt, ist noch nicht endgültig geklärt - man vermutet, dass die Angreifer sich über einen Brute-Force-Angriff auf SSH Zugang zu dem Server verschaffen. Server, Datenzentrum, Hosting Server, Datenzentrum, Hosting SAP
Diese Nachricht empfehlen
Kommentieren7
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Hill Burry Geldbörse aus weichem Leder Model: 11
Hill Burry Geldbörse aus weichem Leder Model: 11
Original Amazon-Preis
39,90
Im Preisvergleich ab
?
Blitzangebot-Preis
31,90
Ersparnis zu Amazon 0% oder 8
Nur bei Amazon erhältlich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden