image

Nieuwe variant Linux-ransomware gebruikt OpenSSL

maandag 23 november 2015, 16:36 door Redactie, 4 reacties

Onderzoekers hebben een nieuwe variant van de ransomware ontdekt die Linux-webservers versleutelt. Linux.Encoder.2, zoals deze variant wordt genoemd, verscheen echter eerder dan Linux.Encoder.1, waar begin november voor werd gewaarschuwd. De tweede variant zou in september en oktober zijn gebruikt.

De aanvallers hebben het voorzien op WordPress-websites en webwinkels die op Magento draaien. Hoe de aanvallers precies weten binnen te komen is volgens het Russische anti-virusbedrijf Doctor Web nog niet bekend. Zodra er toegang tot de server is verkregen worden bestanden versleuteld en krijgen slachtoffers een bericht dat ze moeten betalen. Een verschil tussen de eerste en tweede variant is het gebruik van OpenSSL in plaats van PolarSSL. Waarom de makers van de ransomware van SSL-bibliotheek zijn veranderd is echter onbekend.

Net zoals de eerste variant kan ook de tweede variant worden ontsleuteld, zodat slachtoffers niet hoeven te betalen. De decryptie-tools die er echter zijn verwijderen niet het shellscript van de besmette server. Daardoor kunnen de aanvallers de server opnieuw infecteren. Slachtoffers krijgen het advies om de politie te waarschuwen, de inhoud van versleutelde directories niet te veranderen en geen bestanden van de server te verwijderen.

Reacties (4)
23-11-2015, 20:17 door MeowSec
ja leuk de politie waarschuwen voor mijn server die dacht ik in een frans datacenter staat. online.net

wat wou de politie doen dan. Als je niets mag verwijderen is je site niet meer bruikbaar en mis je dus inkomsten. als je de webshop/website niet meer up krijg omdat alles zo encrypt is.
23-11-2015, 21:48 door Rarsus
Het is, in kader van het vergaren van bewijslast, een goed advies.

Forensic Response vereist dat er niets wordt gewijzigd. Mocht je niet kunnen wachten, sla dit dan over en ga verder met herstel. Enige bewijslast is dan niet meer te gebruiken. (Dit geldt overigens ook bij virusscanners. Zodra je ze in clean-modus zet, heb je geen virus, maar ook geen bewijslast. Maar dit terzijde)

Als je server in Frankrijk staat, kun je daar aangifte doen.
24-11-2015, 08:12 door Anoniem
Houd jouw wordpress en magento website, welke opensource (open broncode) zijn, tegen het licht van de OWASP-TOP10. Waarschijnlijk is dit ook te automatiseren. Verhelp de problemen. Dan heb je een veiliger website.
24-11-2015, 09:04 door Anoniem
Ik zie het al voor me. Aangifte doen bij de politie omdat je server is besmet:
"Ik wil aangifte doen, mijn server is besmet met een cryptolocker"
- "Je wat? Je serveerster? Met een wat? Neem het maar op met je verzekering"

Politie en ICT gaat niet zo goed samen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.