image

Mac-ransomware blijkt aangepaste Linux-ransomware

woensdag 9 maart 2016, 10:47 door Redactie, 9 reacties

De KeRanger-ransomware die vorige week in het torrentprogramma Transmission voor de Mac werd verstopt blijkt een aangepaste versie van de Encoder-ransomware voor Linux te zijn. Dat stelt het Roemeense anti-virusbedrijf Bitdefender in een nieuwe analyse.

De Encoder-ransomware versleutelt webservers die op Linux draaien. De ransomware, die eind november werd ontdekt, versleuteldehonderden webservers en duizenden websites die daar op draaiden. Bij de analyse van KeRanger ontdekte Bitdefender allerlei overeenkomsten met een nieuwe variant van de Encoder-ransomware, die begin dit jaar verscheen. Zo zijn de encryptiefuncties identiek en hebben ook dezelfde namen. Daarnaast gebruiken KeRanger en Encoder een zelfde routine voor het versleutelen. Volgens Bitdefender is er dan ook sprake van de eerste 'cross-platform' ransomware, die bestanden op verschillende platformen kan versleutelen.

Reacties (9)
09-03-2016, 11:17 door Anoniem
Niet zo gek, deze twee platformen hebben grote overeenkomsten.
(om niet direct te zeggen: zijn gewoon hetzelfde)
09-03-2016, 11:24 door Anoniem
Nogal dubbelzinnig...
“It is worth emphasizing that nothing short of a fully-fledged, native MacOS X security solution with real-time, behavior-based detection techniques could have saved MacOS X users from having their systems infected and their files encrypted. There is more, much more, to security than merely disallowing unsigned software” Catalin Cosoi concluded."
'Daar bedoelden ze natuurlijk mee' dat Mac OS X meerdere security lagen heeft ingebouwd waaronder XProtect die er voor zorgde dat de malware zeer snel geblokkeerd werd.
Daarnaast is er inderdaad GateKeeper die, in tegenstelling wat Bitdefender meldt, al in OS X Lion (10.7.5) aanwezig is en niet pas sinds Mountain Lion.
De vraag is of Bitdefender zelf wel direct de malware had kunnen onderscheppen, daar blijft men wonderwel stilletjes over. Vandaar misschien deze (quoted) vage suggestie.

Trouwens,... Bitdefender? Bitdefender?
Waar kennen we die naam toch van?
O, ja, dat bedrijf dat in ieder geval een regelrechte dreiging voor je privacy lijkt te zijn.
https://www.security.nl/posting/462733#posting463430

Nou, ja, dan houden we ze af en toe in het achterhoofd vanwege een aardige ontdekking.
Devies : Adblocker aan en NoScript op vol 'defenden' als je betreffende bit(e)-site bezoekt.

P.s., nog een forum-link-item,
Bitdefender scande pas nog niet vol op Linux en Mac malware exemplaren die al driekwart jaar op straat liggen.
https://www.security.nl/posting/462991/Hack+malware+AV+detectie+%21%3F
Geen prioriteit want geen nieuwswaarde meer?
09-03-2016, 11:30 door Anoniem
Door Anoniem: Niet zo gek, deze twee platformen hebben grote overeenkomsten.
(om niet direct te zeggen: zijn gewoon hetzelfde)

Ik wou dat het waar was!

Dat Linux meer op Mac leek
- visuele vormgeving en gebruiksgemak interface
- qua keyboard keys gebruik

Dat Mac meer op Linux leek
- tools voor harde schijf beheer
- snelheid en response (zeer goed te zien op oudere systemen)
09-03-2016, 11:53 door [Account Verwijderd] - Bijgewerkt: 09-03-2016, 11:55
[Verwijderd]
09-03-2016, 13:19 door Anoniem
Door Muria:
Echter juist de kernel vormt het verschil en die is vaak in het spel bij malware.

Ach welnee!
Dit soort malware is gewoon een userprogramma wat gestart wordt door de gebruiker zelf (al dan niet erin geluisd)
en wat files opent, leest en schrijft.
Dat kan onder ieder OS, en de sterke verwantschap van Linux en MacOS via Unix betekent waarschijnlijk dat dezelfde
C(++) source gewoon direct op beide platformen compileert en de executable meteen rondgestuurd kan worden.

Daar helpt geen moedertje kernel aan!
09-03-2016, 14:32 door Ron625
Door Anoniem: Niet zo gek, deze twee platformen hebben grote overeenkomsten.
(om niet direct te zeggen: zijn gewoon hetzelfde)
Overeenkomsten zijn er zeker, ze zijn dan ook ontstaan vanuit hetzelfde idee.
Verder lijken ze net zoveel op elkaar als een Opel en een Ford, ze hebben beiden 4 wielen en een motor.
09-03-2016, 23:51 door [Account Verwijderd]
[Verwijderd]
10-03-2016, 07:45 door Anoniem
@Anoniem 11:24 Dat ze trackers gebruiken om de verkoop te meten, A/B testen uit te voeren, bezoek te meten en voor advertentiedoeleinden en dat ze daarbij ook nog een paar social media-elementen gebruiken vind ik eigenlijk niet zo heel schokkend. Dit komt helaas veel vaker voor. (Ik blokkeer zelf overigens ook trackers.)

Dat ze hun website en advertenties willen optimaliseren betekent niet automatisch dat hun product ook een aanslag op je privacy betekent.
11-03-2016, 20:28 door Anoniem
Door Anoniem: @Anoniem 11:24 Dat ze trackers gebruiken om de verkoop te meten, A/B testen uit te voeren, bezoek te meten en voor advertentiedoeleinden en dat ze daarbij ook nog een paar social media-elementen gebruiken vind ik eigenlijk niet zo heel schokkend. Dit komt helaas veel vaker voor. (Ik blokkeer zelf overigens ook trackers.)

Dat ze hun website en advertenties willen optimaliseren betekent niet automatisch dat hun product ook een aanslag op je privacy betekent.

Wat ook niet beweerd is maar wel een mogelijke goede indicatie is.
Heb jij al een collega AV gezien die het net zo bont maakt op de eigen site, dat was een bijbehorende vraag en daar ben ik heel benieuwd naar omdat je zegt dat het vaker voorkomt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.