A napokban jött a hír, hogy felbukkant egy fájltitkosító ransomware Linux-ra (és FreeBSD-re). A Linux.Encoder.1 ransomware a Magento webáruház egy sebezhetőségét használja ki. Szerencsére amatőr kódolta a ransomware-t, így a Bitdefender-nek nem került nagy erőfeszítésébe egy Decrypter scriptet írnia, amellyel a titkosított fájlok visszaállíthatók eredeti állapotukra.
However, a major flaw in the way the Encoder Trojan is designed allowed Bitdefender researchers to recover the AES key without having to decrypt it with the RSA private key. […] We mentioned that the AES key is generated locally on the victim’s computer. We looked into the way the key and initialization vector are generated by reverse-engineering the Linux.Encoder.1 sample in our lab. We realized that, rather than generating secure random keys and IVs, the sample would derive these two pieces of information from the libc rand() function seeded with the current system timestamp at the moment of encryption. This information can be easily retrieved by looking at the file’s timestamp. This is a huge design flaw that allows retrieval of the AES key without having to decrypt it with the RSA public key sold by the Trojan’s operator(s).
A Bitdefender elemzése itt olvasható.