Sicherheitsforscher von Eset haben eine Linux-Variante des Windows-Schädlings KillDisk entdeckt und haben diesen analysiert.

Das Ergebnis zeigte, dass Privat-Nutzer sich offensichtlich keine Sorgen machen müssen, da KillDisk bisher ausschließlich Einrichtungen aus dem Finanzsektor und kritische Infrastrukturen in der Ukraine attackiert hat, so Eset.

Möglicherweise ist KillDisk mitverantwortlich für Stromausfälle in der Ukraine. Noch soll diese Variante des Schädlings keine Verschlüsselungsfunktion gehabt und ausschließlich Daten gelöscht haben. Er soll es auf Linux-Server und -Workstations abgesehen haben.

Ein weiteres Indiz, dass die Kriminellen es nicht auf Privatnutzer abgesehen haben, ist die Höhe des Lösegelds von 222 Bitcoins (über 200.000 Euro).

Im Gegensatz zur Windows-Version soll der Linux-Schädling Daten nicht mit AES, sondern dem veralteten Triple DES verschlüsseln. Eset berichtet, dass sich die Erpresser-Botschaft im GRUB-Bootloader befindet, sodass infizierte Systeme nicht mehr starten.

KillDisk soll während der Verschlüsselung zwar einen Schlüssel zum Dechiffrieren erzeugen, diesen aber weder lokal, noch auf dem Command-and-Control-Server der Angreifer speichern. So bekommen diejenigen, die sich darauf einlassen, keinen Schlüssel und der Zugriff auf eigene Daten bleibt verwehrt.

Eset's Sicherheitsforscher sind nach eigenen Angaben auf eine Schwäche bei der Verschlüsselung der Linux-Variante von KillDisk gestoßen. Der Zugriff auf die verschlüsselten Dateien soll zwar möglich, aber der Vorgang "schwierig" sein. Wie genau dies funktioniert, teilt Eset nicht mit.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE