# Einer der ersten Linux-Cryptotrojaner in freier Wildbahn aufgetaucht - mit gravierendem Bug



## DKK007 (7. Januar 2017)

Die Forscher von ESET haben einen (wenn nicht gar den ersten) Cryptotrojaner für Linux der in freier Wildbahn aufgetaucht ist analysiert. 

Dabei ist aufgefallen, das der Trojaner zwar das veraltetet 3DES nutzt, jedoch die Programmierer vergessen haben den Key auf dem System oder einem Server zu speichern. So würde der Admin, da es die Täter wohl vor allem auf Server abgesehen haben, selbst nach Zahlung der gigantischen Summe von 222 Bitcoin, was etwa 200.000€ entspricht, seine Daten nicht retten können.

Der Schädling trägt den passenden Name KillDisk und ist vor allem in der Ukraine aktiv. 

Weitere Erkenntnisse hat ESET zwar angedeutet, jedoch nicht offen gelegt. 

Quelle: Linux-Variante des Erpressungs-Trojaners KillDisk soll Schlussel vergessen | heise online


----------



## Turbo1993 (7. Januar 2017)

Würde mich interessieren, welche Sicherheitslücke die nutzen? Nur weil sie es gerade nur auf den Finanzsektor abgesehen haben, fühle mich nicht wirklich sicherer


----------



## DKK007 (7. Januar 2017)

Wie die Infektion stattfindet hat ESET leider nicht verraten. Auch nicht, welche Distributionen oder Kernel-Versionen bisher betroffen waren.

Kann ja durchaus sein, das die Lücke schon lange gefixt ist, aber auf den Servern uralte Systeme liefen.


----------



## CHRiSSLYi (8. Januar 2017)

Als ob ein Virus jemals nach einer Zahlung verschwunden ist  ..


----------



## Sertix (14. Januar 2017)

Verschwindet genauso wenig wie private, gewerbliche oder staatliche Stellen je aufhören werden welche zu schreiben.

Triple DES > AES. Vertraue keinem cipher von einem staatlichen Institut entworfen, im Auftrag der nsa.


----------



## Stryke7 (14. Januar 2017)

CHRiSSLYi schrieb:


> Als ob ein Virus jemals nach einer Zahlung verschwunden ist  ..



Tatsächlich, ja.  Die meisten Cryptotrojaner sind mit der Zahlung wirklich gelöst, manche bieten sogar eine Service-Hotline an falls du bei der Zahlung Probleme hast  

Der Grund ist einfach:  Wenn sich herumspricht, dass man seine Daten sowieso nicht wiederbekommt, dann würde niemand mehr zahlen.

Wenn sich hingegen herumspricht dass die Zahlung eine schnelle und saubere Lösung ist, dann werden viele Institutionen zähneknirschend zahlen. Klar verletzt das immer noch den eigenen Stolz, aber ein Krankenhaus zum Beispiel wird nicht höhere Kosten und vor allem längere Ausfallzeit ihrer Infrastruktur riskieren. 



Ich muss sagen, aus technischer Sicht sind die Dinger absolut genial. So hässlich es auch ist sich einen einzufangen, ein bisschen Bewunderung für die techniche Umsetzung als auch das Businessmodel habe ich schon.


----------



## DKK007 (14. Januar 2017)

Wobei das Schreiben nicht so wirklich schwer ist. Die AES Funktionen findet man mit etwas googlen und dann muss man einfach nur noch alle Dateien unter C:\Users durchgehen und damit verschlüsseln. 

Deswegen gibt es ja so viele, weil es deutlich einfacher ist als Spyware und man zum Ausführen in diesem Pfad keine Adminrechte braucht.


----------



## Stryke7 (14. Januar 2017)

DKK007 schrieb:


> Wobei das Schreiben nicht so wirklich schwer ist. Die AES Funktionen findet man mit etwas googlen und dann muss man einfach nur noch alle Dateien unter C:\Users durchgehen und damit verschlüsseln.
> 
> Deswegen gibt es ja so viele, weil es deutlich einfacher ist als Spyware und man zum Ausführen in diesem Pfad keine Adminrechte braucht.



Nicht zu vergessen, es gibt wenig Schadsoftware mit der man so leicht so viel Geld verdienen kann.


----------



## CHRiSSLYi (15. Januar 2017)

Stryke7 schrieb:


> Tatsächlich, ja.  Die meisten Cryptotrojaner sind mit der Zahlung wirklich gelöst, manche bieten sogar eine Service-Hotline an falls du bei der Zahlung Probleme hast
> 
> Der Grund ist einfach:  Wenn sich herumspricht, dass man seine Daten sowieso nicht wiederbekommt, dann würde niemand mehr zahlen.
> 
> ...



Wow, dass man die dann nicht auf irgendeine Weise schnappen kann?!


----------



## Stryke7 (15. Januar 2017)

CHRiSSLYi schrieb:


> Wow, dass man die dann nicht auf irgendeine Weise schnappen kann?!


Meistens nicht so leicht. Die Bezahlung findet üblicherweise in Bitcoin oder einer anderen nicht verfolgbaren Cryptowährung statt. 

Sich vor so einem Trojaner zu schützen ist auch nicht so leicht. Das größte Sicherheitsproblem sind wie üblich die Nutzer, und ein System mit vielen Laien-Nutzern ist immer leicht angreifbar.


----------



## DataDino (15. Januar 2017)

Sertix schrieb:


> Verschwindet genauso wenig wie private, gewerbliche oder staatliche Stellen je aufhören werden welche zu schreiben.
> 
> Triple DES > AES. Vertraue keinem cipher von einem staatlichen Institut entworfen, im Auftrag der nsa.


Und warum nicht?

Source-Codes:
DES Source Code (3-DES / Triple DES) - mbed TLS (Previously PolarSSL)
AES Source Code (Advanced Encryption Standard) - mbed TLS (Previously PolarSSL) 

Und tausende andere im Netz!

Ich denke es macht schon einen gewaltigen Unterschied, einem Verschlüssellungsalgorithmus oder einer Software, die "angeblich" eins zu eins selbige verwendet, zu mistrauen. Denn der Source "fast" aller bekannten Algorithmen liegen vor und es gibt auch genug Krypto-Experten, die beurteilen können, ob die Algo's sauber sind oder nicht. Die Algo's sind also kein Problem.

Aber ein solcher Kommentar musste ja kommen. Hiermit überreiche ich dir den *"goldenen Aluhut"*. (Leider gibt es kein Emoji dafür ... Schade!)


----------



## Stefan Payne (16. Januar 2017)

Turbo1993 schrieb:


> Würde mich interessieren, welche Sicherheitslücke die nutzen? Nur weil sie es gerade nur auf den Finanzsektor abgesehen haben, fühle mich nicht wirklich sicherer



Da gibts doch mehr als genug Distributionen, die offen wie 'nen Scheunentor sind.

Auch wenn das ganze prinzipiell gefixt ist, heißt das noch lange nicht, dass das z.B. in einem Debian oder Ubuntu bzw Mint auch gefixt wurde, ganz im Gegenteil. Oft brauchen diese Distributionen ewig, bis die Pakete aktualisiert werden bzw die Patches zurück portiert werden...

Leider bin ich inzwischen der Meinung, dass man ein riesiges Unternehmen a la M$ braucht, dass die Entwicklung aller Bestandteile an sich reißt und ein komplett neues Betriebssystem draus bastelt, damit Linux wirklich gut werden kann. Also im Prinzip das, was Apfel macht...


----------



## Two-Face (16. Januar 2017)

Stefan Payne schrieb:


> Leider bin ich inzwischen der Meinung, dass man ein riesiges Unternehmen a la M$ braucht, dass die Entwicklung aller Bestandteile an sich reißt und ein komplett neues Betriebssystem draus bastelt, damit Linux wirklich gut werden kann. Also im Prinzip das, was Apfel macht...


Das ist jetzt nicht dein ernst.


----------



## Olstyle (16. Januar 2017)

Sind 2Mrd Umsatz und 10k Mitarbeiter nicht genug?
Red Hat - Wikipedia


----------



## Ahab (16. Januar 2017)

Stryke7 schrieb:


> Tatsächlich, ja. Die meisten Cryptotrojaner sind mit der Zahlung wirklich gelöst, manche bieten sogar eine Service-Hotline an falls du bei der Zahlung Probleme hast
> 
> Der Grund ist einfach: Wenn sich herumspricht, dass man seine Daten sowieso nicht wiederbekommt, dann würde niemand mehr zahlen.
> 
> ...



Ich soll meinen Angreifern also einfach glauben, dass nicht doch irgendwo eine Spyware hinterlegt wurde? Dass ich mit der Zahlung wieder an meine Daten komme, ist ja wohl das mindeste. 

Wer nach einem solchen Einbruch einfach weitermacht, wie bisher, hat meiner Meinung nach NICHT MEHR ALLE TASSEN IM SCHRANK! Ich würde so ein System IMMER platt machen und ein Backup einspielen! Ich finde es unerträglich, dass so viele tatsächlich einfach zahlen und "gut is". UNFASSBAR.


----------



## DKK007 (16. Januar 2017)

DataDino schrieb:


> Ich denke es macht schon einen gewaltigen Unterschied, einem Verschlüssellungsalgorithmus oder einer Software, die "angeblich" eins zu eins selbige verwendet, zu mistrauen. Denn der Source "fast" aller bekannten Algorithmen liegen vor und es gibt auch genug Krypto-Experten, die beurteilen können, ob die Algo's sauber sind oder nicht. Die Algo's sind also kein Problem.



Man muss ja nicht Rinjadael verwenden, der als AES bekannt ist. Genauso kann man einen der anderen Finalisten wie Towfish oder Serpent verwenden. Truecrypt kann sogar alle 3 gleichzeitig verwenden.

Die größte Schwachstelle ist die Schlüssel Verwaltung, denn irgendwann (spätestens wenn das Volume gemountet ist, und dann so lange wie es offen ist) muss der Volume-Key im RAM stehen.
Bei Bitlocker muss sogar eine .BEK oder .TXT Datei mit dem RecoveryKey angelegt werden. Da steht dann sogar "BitlockerRecoveryKey:" und der R-Key im Klartext drin. Mit dem R-Key braucht man auch kein TPM, das heißt, was in der Werbung schön sicher klingt, ist praktisch nutzlos.


----------



## DataDino (16. Januar 2017)

DKK007 schrieb:


> Man muss ja nicht Rinjadael verwenden, der als AES bekannt ist. Genauso kann man einen der anderen Finalisten wie Towfish oder Serpent verwenden. Truecrypt kann sogar alle 3 gleichzeitig verwenden.
> 
> Die größte Schwachstelle ist die Schlüssel Verwaltung, denn irgendwann (spätestens wenn das Volume gemountet ist, und dann so lange wie es offen ist) muss der Volume-Key im RAM stehen.
> Bei Bitlocker muss sogar eine .BEK oder .TXT Datei mit dem RecoveryKey angelegt werden. Da steht dann sogar "BitlockerRecoveryKey:" und der R-Key im Klartext drin. Mit dem R-Key braucht man auch kein TPM, das heißt, was in der Werbung schön sicher klingt, ist praktisch nutzlos.


Genau das meine ich damit. Das Problem sind meisten die Anwendungen, in denen die Algo's verwendet werden.


----------



## failwell (19. Januar 2017)

Stryke7 schrieb:


> Ich muss sagen, aus technischer Sicht sind die Dinger absolut genial. So hässlich es auch ist sich einen einzufangen, ein bisschen Bewunderung für die techniche Umsetzung als auch das Businessmodel habe ich schon.



Im aktuellen Fall steckt da wohl kaum ein gut durchdachtes Business Modell dahinter. Ich finde es nicht besonders clever, mit solch großen Summen (200.000 EUR++) ranzugehen. Da muss man auch auf Seite der Angreifer echt verzweifelt sein oder absolut panikfrei. Umso höher die erpressten Beträge sind, umso mehr wird auch daran gesetzt werden, Lösungen um die Geldzahlung herum zu finden. Die erhöhen also das eigene Risiko nicht gerade wenig.. Wo ein Unternehmen bei 1 oder 2 Bitcoins vielleicht noch bereit ist - da es sich ja noch um moderate Beträge handelt, wird es bei diesen Summen wirklich kritisch. Für diesen Preis kann man mit Sicherheit auch Experten anheuern, die sich dem Grundproblem annehmen.. :\


----------



## BlackAcetal (19. Januar 2017)

Ne Telefon Hotline xD

Schicken die dann auch einen Techniker der dann bei Problemen hilft und mir dann mein System wieder lauffähig macht?

Gesendet von meinem KIW-L21 mit Tapatalk


----------



## Stern1710 (19. Januar 2017)

Nein die sagen dir, wie du korrekt bezahlst etc. Natürlich sind das einfach gemietete Hotlines irgendwo im nirgendwo


----------



## Kusanar (19. Januar 2017)

Gehen langsam die Namen für neue Trojaner / Viren aus? Killdisk war doch schon eine Komponente die im Zusammenhang mit BlackEnergy letztes Jahr in der Ukraine aufgetaucht ist...


----------



## DKK007 (21. Januar 2017)

Ist wohl der gleiche oder zumindest sehr nah damit verwandt. 



> Dem Ergebnis zufolge müssen sich Privat-Nutzer offensichtlich keine Sorgen machen: Eset berichtet, dass KillDisk bisher ausschließlich Einrichtungen aus dem Finanzsektor und kritische Infrastrukturen in der Ukraine attackiert hat.
> 
> 
> Die Sicherheitsforscher vermuten, dass der Schädling für Stromausfälle in der Ukraine mitverantwortlich sein soll. In dieser Variante soll er aber noch keine Verschlüsselungsfunktion gehabt und ausschließlich Daten gelöscht haben.


----------



## Stryke7 (23. Januar 2017)

Macht auch Sinn. Zum einen kann man von den meisten Privatpersonen nicht besonders viel Geld bekommen und ihnen ist ihre Infrastruktur meist nicht ganz so wichtig,  und zum anderen braucht man auch eine Institution die überhaupt mit Bitcoin zahlen kann.


----------

