Linuxgebruikers doelwit van nieuwe ransomware
Onderzoekers van het Russische anti-virusbedrijf Doctor Web hebben ransomware ontdekt die het op Linuxgebruikers heeft voorzien. Hoe de "Linux Encoder" ransomware zich verspreidt laat de virusbestrijder niet weten. De malware heeft het vooral voorzien op webmasters en webservers.
Zodra de ransomware met beheerdersrechten kan starten zal die onder andere een bestand met instructies voor het slachtoffer downloaden en de bestanden versleutelen. Het gaat in dit geval om bestanden in home directories en directories die met het beheer van de website samenhangen. Hierna worden alleen bestanden met specifieke extensies en bepaalde directorynamen versleuteld. De versleutelde bestanden krijgen een .encrypted extensies.
Ook wordt er in elke directory met versleutelde bestanden het bestand met instructies geplaatst. Daarin staat dat het slachtoffer 1 bitcoin moet betalen, wat met 360 euro overeenkomt. De ransomware heeft volgens Doctor Web al meer dan 10 slachtoffers gemaakt. Het anti-virusbedrijf adviseert slachtoffers om contact met de technische afdeling van het bedrijf op te nemen. Om de bestanden te ontsleutelen is het volgens de virusbestrijder belangrijk dat gebruikers ze niet aanpassen of verwijderen, anders kunnen de versleutelde data permanent verloren gaan.
Reacties (24)
06-11-2015, 17:27 door
SPlid
Zodra de ransomware met beheerdersrechten kan starten zal die onder andere een bestand met instructies voor het slachtoffer downloaden en de bestanden versleutelen
Een reden temeer om niet per default in te loggen met een root-equivalent id als dat niet noodzakelijk is.
Als deze beheerder in God modus per ongelijk op een linkje klikt, een bestand opent oid, is het systeem en mogelijke shares het haasje.
Door SPlid:
Een reden temeer om niet per default in te loggen met een root-equivalent id als dat niet noodzakelijk is.
Als deze beheerder in God modus per ongelijk op een linkje klikt, een bestand opent oid, is het systeem en mogelijke shares het haasje.
Zodra de ransomware met beheerdersrechten kan starten zal die onder andere een bestand met instructies voor het slachtoffer downloaden en de bestanden versleutelen
Een reden temeer om niet per default in te loggen met een root-equivalent id als dat niet noodzakelijk is.
Als deze beheerder in God modus per ongelijk op een linkje klikt, een bestand opent oid, is het systeem en mogelijke shares het haasje.
Dat maakt dus niet uit. Het gaat om je home directory, dus je eigen rechten. Dus ook een normale user heeft problemen, want al je documenten in je home map worden ge-encrypt. Maar als je je user in allerlei groepen zet, met groepsschrijfrechten, ben je helemaal de pineut.
TheYOSH
Hoe de "Linux Encoder" ransomware zich verspreidt laat de virusbestrijder niet weten.
Waar slaat dát dan weer op? Het maakt het verhaal meteen hartstikke ongeloofwaardig. Ik zeg niet dat het onmogelijk is dat er malware voor Linux ontwikkeld kan worden. Maar door iets te roepen, en dan vervolgens niets vertellen over het "hoe-en-wat", dat is natuurlijk vaag.
Zodra de ransomware met beheerdersrechten kan starten...
Ja hoor, zo lust ik 'm ook! Dus als er geen rootrechten verkregen kan worden, dan kan het niets uitrichten. What's the fuzz? Bangmakerij voor eigen gewin dus. Wat een flut....
06-11-2015, 18:30 door
Skizmo
De ransomware heeft volgens Doctor Web al meer dan 10 slachtoffers gemaakt.
Oeh... pas maar op... straks worden het er mischien wel 20.Door Anoniem: Zo zie ja maar weer: ook Linux is niet waterdciht!
Kun jij een OS noemen die wél waterdicht is dan?Tja, wazig verhaal weer.
Ik overweeg om de snelkoppeling in mijn browser naar security.nl te verwijderen.
Ik lees allemaal items over lekken, spyware, backdoors, trojans, maar nog geen 1 artikel tegengekomen, waar je iets mee kunt.
Ik overweeg om de snelkoppeling in mijn browser naar security.nl te verwijderen.
Ik lees allemaal items over lekken, spyware, backdoors, trojans, maar nog geen 1 artikel tegengekomen, waar je iets mee kunt.
Tuurlijk bestaan er virussen voor linux, hoe dom kun je anders zijn... als er mensen denken dat er écht nooit virussen uitkomen voor linux, dan snap je het principe van het OS gewoon niet.
Hint: blijf ALTIJD up-to-date met linux!
Waarschijnlijk is deze lek in linux al gedicht voordat de eerste advertenties daar over verschenen.
Hint: blijf ALTIJD up-to-date met linux!
Waarschijnlijk is deze lek in linux al gedicht voordat de eerste advertenties daar over verschenen.
06-11-2015, 20:26 door
[Account Verwijderd]
[Verwijderd]
Dacht ik het niet: Dr. Web heeft ook anti-virusoplossingen voor Linux. Komt dat even goed uit zeg. En daar is het ook om te doen. Lekker doorzichtig weer allemaal... zucht!
Door Anoniem:Waar slaat dát dan weer op? Het maakt het verhaal meteen hartstikke ongeloofwaardig. Ik zeg niet dat het onmogelijk is dat er malware voor Linux ontwikkeld kan worden. Maar door iets te roepen, en dan vervolgens niets vertellen over het "hoe-en-wat", dat is natuurlijk vaag.
Dus eerst is het voor jou meteen ongeloofwaardig en daarna is het vaag. Iemand die iets van beveiliging van webservers af weet, weet ook wat de risico's zijn en gaat niet meeteen klagen bij de eerste de beste terughoudendheid om aan iedereen te vertellen hoe malware op een webserver komt.Zodra de ransomware met beheerdersrechten kan starten..Ja hoor, zo lust ik 'm ook! Dus als er geen rootrechten verkregen kan worden, dan kan het niets uitrichten. What's the fuzz? Bangmakerij voor eigen gewin dus. Wat een flut....
Als je even de moeite neemt om het oorspronkelijke bericht te lezen dan hebben ze het over administrators van websites. Als je dan niet verder komt dan denken aan een root user is nogal kort door de bocht.Het zou zomaar kunnen dat dr web het zelf ontwikkeld heeft.
Door te zeggen dat ze het ontdekt hebben wekken ze geen argwaan.
Door te zeggen dat ze het ontdekt hebben wekken ze geen argwaan.
Door Anoniem: Dacht ik het niet: Dr. Web heeft ook anti-virusoplossingen voor Linux. Komt dat even goed uit zeg. En daar is het ook om te doen. Lekker doorzichtig weer allemaal... zucht!
Ik ben er van overtuigd dat minstens de helft van de malware geschreven wordt door of in opdracht van de virusscannerfabrikanten. Kijk maar eens naar de ellenlange lijsten van varianten van virussen die dan volgens de beschrijving niet of
nauwelijks in het wild voorkomen. Men heeft kennelijk de contacten om die niet in het wild voorkomende virussen
te krijgen en te scannen. En het steeds maar updaten van de signatures bevestigt de noodzaak om een (betaald)
abonnement aan te houden op zo'n dienst. Uiteraard moeten ook gebruikers van systemen waar niet zo veel virussen
voor zijn hier aan geloven.
07-11-2015, 10:43 door
[Account Verwijderd]
[Verwijderd]
07-11-2015, 10:53 door
karma4
Waar heeft Dr-Web het over: Web-omgevingen.
Gehackte websites is niet een bijzonder fenomeen het is een gangbaar iets. SQL injection is de goude ouden de laatste top 10 https://www.owasp.org/index.php/Top_10_2013-Top_10. Verbaast me dat A5 nog zo laag staat.
De webserver zonder confinement (SElinux) shared accounts en een zelf gebouwd identificatie/autorisatie mechanism voor de webtoegang. Het is de gangbare opzet. Wees dan niet verbaasd dat er zoveel lekken te vinden zijn en hacks gebeuren.
In plaats van kopieren van de data en die te proberen te verkopen wordt de data nu ge-encrypt.
Dat kan een beter verdienmodel zijn vooral als het terughalen (de restore) van de data op een schoon (!) system niet in de draaiboeken uitgewerkt is.
Gehackte websites is niet een bijzonder fenomeen het is een gangbaar iets. SQL injection is de goude ouden de laatste top 10 https://www.owasp.org/index.php/Top_10_2013-Top_10. Verbaast me dat A5 nog zo laag staat.
De webserver zonder confinement (SElinux) shared accounts en een zelf gebouwd identificatie/autorisatie mechanism voor de webtoegang. Het is de gangbare opzet. Wees dan niet verbaasd dat er zoveel lekken te vinden zijn en hacks gebeuren.
In plaats van kopieren van de data en die te proberen te verkopen wordt de data nu ge-encrypt.
Dat kan een beter verdienmodel zijn vooral als het terughalen (de restore) van de data op een schoon (!) system niet in de draaiboeken uitgewerkt is.
Door Anoniem: Ik ben er van overtuigd dat minstens de helft van de malware geschreven wordt door of in opdracht van de virusscannerfabrikanten. Kijk maar eens naar de ellenlange lijsten van varianten van virussen die dan volgens de beschrijving niet of nauwelijks in het wild voorkomen. Men heeft kennelijk de contacten om die niet in het wild voorkomende virussen te krijgen en te scannen. En het steeds maar updaten van de signatures bevestigt de noodzaak om een (betaald)
abonnement aan te houden op zo'n dienst. Uiteraard moeten ook gebruikers van systemen waar niet zo veel virussen
voor zijn hier aan geloven.
Wie heeft het hier over een virus? Daar beginnen enkele lezers zelf bekrompen aan te denken (naast het ver gezochte beveiligingslek in Linux). Kennelijk lezers die niet snappen hoe hosten van websites werkt.abonnement aan te houden op zo'n dienst. Uiteraard moeten ook gebruikers van systemen waar niet zo veel virussen
voor zijn hier aan geloven.
Ten tweede, er leven meer dan een MILJARD mensen op deze aardbol. 5% is ongeveer wel eens crimineel bezig. Zelfs al zou slechts 0,0001% zich jaarlijks een of twee keer per jaar bezich houden met geld verdienen aan het overnemen van andermans websites, maken van ransomware enz enz enz dan hebben we het hier over ruim een miljoen personen. Dat mensen die virussen en andere troep daarna niet zien en dan de beschermers gaan beschuldigen zegt mij meer over hoe makkelijk iemand een ander wenst te beschuldigen. Niet geremd door enige paranoia, emotie, onwetendheid en kortzichtigheid.
Door MAC-user:Dat valt moeilijk te bewijzen natuurlijk, maar wel raar vind ik dat ik tot nu toe geen enkele sample op het internet ben tegengekomen.
Ik lees in dat bericht van dat bedrijfje dat ze pas enkele tientallen slachtoffers hebben gezien. Een slachtoffer valt waarschijnlijk op omdat de website niet meer werkt omdat bestanden niet meer in html of afbeelding formaat zijn. Wil dat zeggen dat er samples zijn? Waarschijnlijk alleen nog maar versleutelde bestanden.Dr. Web is meer voor Android OS, wil natuurlijk niet zeggen dat Linux niet vatbaar is, maar deze ransomeware heeft zo mijn twijfels. Ik zou me als thuis gebruiker echt nog geen zorgen maken. Voor mij geldt nog steeds LINUX rules..
Dr. Web ? Ik ben meer bevreesd voor Dr. No ........ groeten, James Bond
In dit geval, FUD?
Lijkt erop dat ze dit malware zelf hebben geschreven:
http://vms.drweb.com/virus/?i=7703983
Lijkt erop dat ze dit malware zelf hebben geschreven:
http://vms.drweb.com/virus/?i=7703983
Anti virus bedrijven zijn geen charitatieve instellingen, en de beschuldigingen dat ze zelf verantwoordelijk zijn voor heel veel rottigheid op internet is daarom absoluut geloofwaardig te noemen. Onlangs was er een test waarin Microsoft haar virusscanner elke ontdekte virus onmiddellijk doorgaf aan een enorme database, die op haar beurt weer met vele computers verbonden was, en daarmee dus verspreiding van deze virussen bijna direct kon stoppen.
Dit is natuurlijk de toekomst, mits men erin slaagt het systeem te vrijwaren van inbrekers.
Dit betekend ook het einde van veel anti virus bedrijven, en dat zullen ze niet fijn vinden, en er mag verwacht worden, dat deze bedrijven alles, en dat betekend echt bijna alles wat in hun mogelijkheden ligt, zullen aanwenden om hun verdienmodel te behouden.
Dit is natuurlijk de toekomst, mits men erin slaagt het systeem te vrijwaren van inbrekers.
Dit betekend ook het einde van veel anti virus bedrijven, en dat zullen ze niet fijn vinden, en er mag verwacht worden, dat deze bedrijven alles, en dat betekend echt bijna alles wat in hun mogelijkheden ligt, zullen aanwenden om hun verdienmodel te behouden.
Door Anoniem:
Waar slaat dát dan weer op? Het maakt het verhaal meteen hartstikke ongeloofwaardig. Ik zeg niet dat het onmogelijk is dat er malware voor Linux ontwikkeld kan worden. Maar door iets te roepen, en dan vervolgens niets vertellen over het "hoe-en-wat", dat is natuurlijk vaag.
Hoe de "Linux Encoder" ransomware zich verspreidt laat de virusbestrijder niet weten.
Waar slaat dát dan weer op? Het maakt het verhaal meteen hartstikke ongeloofwaardig. Ik zeg niet dat het onmogelijk is dat er malware voor Linux ontwikkeld kan worden. Maar door iets te roepen, en dan vervolgens niets vertellen over het "hoe-en-wat", dat is natuurlijk vaag.
Volgens de laatste berichten betreft het Magento websites. De gebruikers van deze crypto hebben daar een lek in ontdekt.
Zodra de ransomware met beheerdersrechten kan starten...
Ja hoor, zo lust ik 'm ook! Dus als er geen rootrechten verkregen kan worden, dan kan het niets uitrichten. What's the fuzz? Bangmakerij voor eigen gewin dus. Wat een flut....
Afhankelijk van hoe Magento is geinstalleerd, kun je dan wel of geen adminrechten krijgen. Er zijn gelukkig providers die alle sites in een jail zetten, zodat de rest van de klanten er geen last van hebben.
Peter
Door Anoniem: Zo zie ja maar weer: ook Linux is niet waterdciht!
Ook jouw spelling is niet waterdicht*.on-topic: Geen enkel besturingssysteem is volledig waterdicht. Dan zou je er niets meer mee kunnen doen. Linux is juist zo fijn omdat het veel opties biedt.
"With great power comes great responsibility."
Vaak wordt Linux wel gebruikt door mensen die er wat meer verstand van hebben. En wordt het in een minderheid gebruikt. Hierdoor zijn aanvallen dus "minder voorkomend". Neemt niet af dat webservers wel redelijk grote targets zijn, een bedrijf zal meer betalen voor een decryptiesleutel dan de gemiddelde consument. Mocht het bedrijf slim genoeg zijn om geen back-ups te hebben. (Of dat deze ook meegenomen zijn in de encryptie)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
