Seit wenigen Tagen ist es amtlich: Linux hat seinen ersten Erpressungstrojaner, Linux.Encoder.1. Erpressungstrojaner (auch Ransomware, FBI- oder BKA-Trojaner) sind besonders fiese Schadprogramme, die die persönlichen Daten auf dem befallenen Rechner verschlüsseln und für die Wiederfreischaltung Geld fordern – häufig in der rein elektronischen und nicht verfolgbaren Währung Bitcoin.
Erpressungstrojaner verschlüsseln persönliche Daten und fordern Lösegeld
Ist die Sicherheit von Linux gefährdet?
Ich habe schon früher kundgetan, dass meiner Meinung nach Virenscanner für Desktop-Linux nicht notwendig sind, und dabei bleibe ich auch weiterhin. Dies ist ein derzeit sehr gefragtes Thema, wie ich meinen Zugriffsstatistiken entnehmen kann, in denen dieser Artikel seit Wochen unangefochten führt.
Im Gegensatz zu anderer Schadsoftware für Linux, die hin und wieder erwähnt wird, ist ein Erpressungstrojaner aber eine reale Gefahr für Privatanwender. Andere Schadsoftware, wie zum Beispiel Trojaner für das Online Banking, richten auch unter Windows selbst bei einer erfolgreichen Infektion eines Systems nur dann echten Schaden an, wenn sie auch zum Zuge kommen. Dazu muss der Banking Trojaner die Bank, die der Befallene verwendet, kennen und sich erfolgreich in die Kommunikation einschalten. Wer beispielsweise kein Online Banking betreibt, wird im Idealfall von solch einer Infektion nie etwas merken. Nicht alle Banking Trojaner sind also nach erfolgter Infektion auch funktional. Aber ein Erpressungstrojaner, der ein System befällt, kann und wird sehr ärgerlichen Schaden anrichten.
Wie erfolgt die Infektion?
Dies ist ein Programm von einer Sorte, von der es für Windows bereits Hunderte gibt. Man darf davon ausgehen, dass weitere folgen werden. Es gibt aber Hinweise darauf, dass dieser spezielle Trojaner ebenso wie frühere Linux-Schadsoftware nicht Privatanwender, sondern Server zum Ziel hat. Er scheint sich durch eine Lücke im Magento-Shopsystem zu verbreiten, das auf Internet-Webseiten eingesetzt wird.
Der Entdecker, Dr. Web, spricht in dem eingangs verlinkten Artikel von „tens of users“, etwa übersetzt: Dutzenden von Anwendern, die infiziert sind. Das ist gemessen an den üblichen Infektionsraten von Windows-Systemen lächerlich wenig. Aber das hilft nichts, wenn man betroffen ist.
Es zeigt sich wieder, dass gerade Software auf Servern immer aktuell gehalten werden muss, um ein Höchstmaß an Sicherheit zu erreichen. Und gegen Erpressungstrojaner gibt es nur ein probates Mittel: häufige und vollständige Backups, die man über die nutzlosen, weil verschlüsselten Daten drüberspielt, nachdem der Trojaner entfernt wurde.
Im Falle von Linux.Encoder.1 gibt es zudem bereits herunterladbare Entschlüsselungsprogramme, da die Verschlüsselung hier inkompetent umgesetzt wurde. Die Zahlung des Lösegelds von einem Bitcoin (ca. 300 Euro) erübrigt sich also.
Update: Mittlerweile ist die Zahl der Infektionen gestiegen und die Qualität der Verschlüsselung hat sich verbessert. Dabei scheint es sogar zu Mehrfach-Infektionen desselben Servers gekommen zu sein, die zu totalem Datenverlust führen. Auch die Lösegeld-Forderung ist gestiegen, sie beträgt mittlerweile etwa das Dreifache.
Kurios: die Erpressungs-Mitteilung enthält einen russischsprachigen Satz, der Betroffenen eine kostenlose Entschlüsselung und eine Entschuldigung anbietet, sofern die Webseite in einem Staat der GUS beheimatet ist.
Die Zukunft
Grundsätzlich könnten Erpressungstrojaner aber auch unter Desktop-Linux eine Zukunft haben. Die persönlichen Benutzerdaten kann ein mit den Rechten des Benutzers laufendes Packprogramm problemlos zuerst in einem passwortgeschützten Archiv verschlüsseln und dann die Originale löschen. Dazu bedarf es nichts weiter als eines Skriptes, für das man keine besondere Programmierkunst braucht. Admin-Rechte sind ebenfalls nicht notwendig.
Wie schützt man sich sinnvoll dagegen?
Virenscanner sind hier nicht die richtige Lösung. Ein Virenscanner kann hier nur mit der Signaturerkennung punkten, das Programm muss also dem Hersteller der Antivirussoftware bekannt sein. Ein Programm, das per Heuristik oder Verhaltenserkennung losmeckert, weil man sich 7Zip oder einen anderen Packer installiert, kann man nicht gebrauchen. Wenn zukünftige Erpressungstrojaner für Linux mit einem Fünkchen Hirn programmiert werden, unterlaufen sie durch kurze Verteildauer die Signaturerfassung, so dass man sich auf einen Virenscanner keinesfalls verlassen sollte.
Der beste Schutz ist nach wie vor der Verstand des Anwenders. Die weitaus meiste Software für Linux installieren die Anwender aus dem Repositorium ihrer Distribution, also in Ubuntu z.B. durch das Software Center. Wie auch unter Android gilt, dass man allen anderen Quellen gegenüber misstrauisch bleiben sollte. Installieren Sie keine Software aus anderen Quellen, wenn Sie sich nicht sicher sind, dass die Quelle sauber ist.
Ein Erpressungstrojaner, der an einer E-Mail hängt, kann unter Linux nicht einfach ausgeführt werden. Er müsste entweder erst einmal durch den Anwender ausführbar gemacht werden oder aus einem Archiv ausgepackt und dann manuell gestartet werden. Sie müssen selbst entscheiden, wie wahrscheinlich es ist, dass Sie das tun würden.
Automatische Infektionen durch Drive-By-Downloads sind nach meinem derzeitigen Wissen nicht zu erwarten. Browser -wie überhaupt die gesamte Software- sollten aktuell gehalten werden und auf Techniken wie Flash oder Java kann man womöglich ganz verzichten.
Wichtig sind aber auch, wie schon erwähnt, regelmäßige und vollständige Backups. Nicht zuletzt auch deshalb, weil Ihren persönlichen Daten mit deutlich größerer Wahrscheinlichkeit ein viel schlimmeres Ende droht als die Verschlüsselung durch einen Erpressungstrojaner: der plötzliche Festplattentod.
