Onderzoeker zijn erin geslaagd de Linux.Encoder-ransomware voor Linux te kraken, zodat slachtoffers zonder te betalen hun bestanden kunnen terugkrijgen. De ransomware werd vorige week door het anti-virusbedrijf Doctor Web aangekondigd. Destijds was onbekend hoe de ransomware zich verspreidde.

Wel was bekend dat het voornamelijk webservers waren die werden geïnfecteerd. Nu meldt het Roemeense anti-virusbedrijf Bitdefender dat aanvallers een kwetsbaarheid in het populaire contentmanagementsysteem Magento gebruiken om toegang tot servers te krijgen. Vervolgens installeren ze de ransomware, die erg veel op Windows-ransomware lijkt. Net als Windows-gebaseerde ransomware versleutelt Linux.Encoder bestanden met AES. De symmetrische sleutel wordt dan versleuteld met een asymmetrisch encryptie algoritme (RSA).

Bij het ontwerp van de ransomare hebben de makers een grote fout gemaakt, waardoor onderzoekers van Bitdefender de AES-sleutel kunnen achterhalen zonder dat die eerst met de RSA-privésleutel moet worden ontsleuteld. De ransomware gebruikt namelijk geen willekeurige sleutels en initialisatievectoren voor de encryptie, maar leidt deze twee stuks informatie af van een bepaalde functie in combinatie met de tijd van de encryptie. Deze informatie is eenvoudig terug te halen en is volgens de onderzoekers een grote ontwerpfout. Ze hebben nu een tool (zip) ontwikkeld die automatisch versleutelde bestanden kan ontsleutelen.

Bron: Security.nl