Czy program antywirusowy może chronić mnie przed złośliwym oprogramowaniem KillDisk dla systemu Linux?

19

Mój krewny wysłał mi ostatnio e-maila. Ostatnio natknął się na ten alarmujący nagłówek od dostawcy oprogramowania antywirusowego ESET:

KillDisk atakuje teraz Linuksa: żąda okupu w wysokości 250 000 USD, ale nie może go odszyfrować

Wiadomość e-mail opisuje program, który szyfruje zawartość dysku i żąda okupu.

Mój krewny jest zaniepokojony i uważa, że ​​z pewnością potrzebny jest teraz program antywirusowy.

Jestem przekonany, że na Ubuntu nie jest potrzebny antywirus. Uważam raczej, że najlepszą ochroną dla użytkownika Ubuntu jest szybkie instalowanie aktualizacji bezpieczeństwa, regularne tworzenie kopii zapasowych i instalowanie oprogramowania tylko z zaufanych źródeł, takich jak Centrum oprogramowania Ubuntu. Czy ta rada jest już nieaktualna w związku z pojawieniem się KillDisk?

security malware antivirus Flimm
źródło
2
Nie martw się Proszą tylko o tyle pieniędzy, ponieważ atakują instytucje, które mogą sobie na to pozwolić. Wróć za rok lub dwa, gdy technika exploitów zostanie wystarczająco utowarszona, aby uzyskać szerokie rozprzestrzenianie się i niską wydajność infekcji wynoszącą ≤ 1 BTC, tak jak widzimy to w przypadku innego złośliwego oprogramowania. Jeśli masz szczęście, nigdy nie stanie się to z instalacjami Linuksa na pulpicie, ponieważ przestępcy wybierają system Windows i Androida w bardziej ekonomiczny sposób. ; -] Po prostu przygotuj ostatnie kopie zapasowe offline, tak jak powinieneś.
David Foerster
13
Patrząc na kod z tego artykułu wyróżnia się ogromna słabość - autorzy używają srand(time)i randgenerują klucze! To sprawia, że ​​są one trywialnie zgadywalne (poprzez oszacowanie czasu ataku wirusa lub po prostu wypróbowanie wszystkich ~ 2 ^ 24 możliwości z ostatniego roku), co oznacza, że ​​nie powinieneś się zbytnio obawiać tego konkretnego wariantu wirusa.
nneonneo
@nneonneo Żeby było jasne, autorzy złośliwego oprogramowania mają ogromną słabość, a nie autorzy artykułu.
Flimm,
1
Słabość kryptografii wspomniana tutaj również w celu uzyskania dalszych informacji: bleepingcomputer.com/news/security/...
John U

Odpowiedzi:

20

Wiadomość e-mail opisuje program, który szyfruje zawartość dysku i żąda okupu.

Jak to robi? (oczywiście artykuł nie wspomina o tym ...). Z linku ...

Główna procedura szyfrowania rekursywnie przegląda następujące foldery w katalogu głównym do głębokości 17 podkatalogów:

/ boot / bin / sbin / lib / security / lib64 / security / usr / local / etc / etc / mnt / share / media / home / usr / tmp / opt / var / root

Według naukowców „pliki ofiary są szyfrowane przy użyciu Triple-DES stosowanego do bloków plików 4096-bajtowych”, a „każdy plik jest szyfrowany przy użyciu innego zestawu 64-bitowych kluczy szyfrujących”.

Musimy wiedzieć, w jaki sposób uważają, że mogą obejść hasło administratora ...

  • Czy to wymaga hasła sudo?
  • Czy może próbuje brutalnie wymusić hasło sudo? Jeśli tak, to jak dobre jest twoje hasło?
  • Czy wymaga to pobrania tego złośliwego oprogramowania z poczty i uruchomienia go? (...) Jeśli tak ... nie :-P

Najlepsza metoda na przeciwdziałanie temu: twórz regularne kopie zapasowe i przechowuj więcej niż 1 kopię zapasową wszystkiego, co jest dla Ciebie ważne. Zawsze można sformatować dysk, zainstalować go ponownie i przywrócić czystą kopię zapasową.

Jestem przekonany, że na Ubuntu nie jest potrzebny antywirus.

Ja też! Ale wirus to tylko niewielka część całego złośliwego oprogramowania. Masz także rootkity i crapware, takie jak to, co opisano powyżej.

Czy ta rada jest już nieaktualna w związku z pojawieniem się KillDisk?

Nie! Ta rada jest najlepsza, jaką możesz uzyskać. W tej chwili możemy uznać Centrum oprogramowania Ubuntu za wolne od złośliwego oprogramowania. W tym artykule i podobnych artykułach, które znalazłem, brakuje 1 bitu informacji: w jaki sposób faktycznie szyfruje nasze dyski.

Rinzwind
źródło
11
Jeśli wirus może po prostu zaszyfrować katalog domowy użytkownika, to w końcu to, na czym on naprawdę zależy .
Jupotter
Sprawdź artykuł. wyraźnie pokazuje katalogi poza domem. Sugeruje to również, że grub jest zastępowany. I znowu: nie wirus. Wirus oznacza rozprzestrzenianie się. Złośliwe oprogramowanie. Tak.
Rinzwind
1
@Jupotter, nadal musisz uruchomić kod. W przeciwieństwie do Microsoft Linux nie wykonuje automatycznie załączników wiadomości e-mail i tym podobnych.
Wildcard,
@Wildcard Czy KillDisk wykorzystuje jakieś znane luki w aplikacjach do wykonania kodu, czy faktycznie wymaga to uruchomienia go przez użytkownika?
tangrs
1
@Wildcard: Nie do końca prawdziwa dla obu z nich. Ani Linux, ani Windows nie wykonują jawnie załączników e-mail. Jednak moduły renderujące HTML i dekodery obrazów mają zwykle luki w zabezpieczeniach polegające na wykonaniu dowolnego kodu, które atakujący może zmienić w zdalne wykonanie kodu za pomocą wiadomości e-mail. W przeszłości w systemie Windows problem był po prostu gorszy niż w systemie Linux, ponieważ moduł renderujący HTML był na stałe podłączony do systemu operacyjnego. Ponadto użytkownicy systemu Windows są lepiej wyszkoleni w zakresie ręcznego klikania i wykonywania wszystkich załączników e-mail i pobranych plików. W systemie Linux nie jest to takie proste.
David Foerster,
4

Oczywiste jest, że Linux nie jest w pełni bezpieczny, ale nie powinno pojawiać się zapotrzebowanie na oprogramowanie antywirusowe, biorąc pod uwagę, że łaty bezpieczeństwa są regularnie pobierane. Ostatnio pojawiło się także oprogramowanie do okupu KillDisk i znane jest z tego, że atakuje tylko organizacje biznesowe i firmy hostujące serwery. Użytkownicy domowego systemu Linux powinni być teraz bezpieczni. Co ważniejsze, wszyscy użytkownicy Linuksa muszą wiedzieć, jaką różnicę mogą mieć uprawnienia administratora / roota, jeśli uprawnienia zostaną przyznane nieznanym, złośliwym programom (wyniki mogą być całkowicie niepożądane lub wręcz katastrofalne). Oczywiście utrzymywanie regularnych kopii zapasowych nie powinno stanowić problemu dla zwykłych użytkowników.

50kalwolwer
źródło
Skąd wiesz, że KillDisk jest skierowany tylko do organizacji biznesowych? Dlaczego nie także osoby fizyczne?
Flimm,
W przeszłości KillDisk atakował organizacje biznesowe i firmy. Dlaczego złośliwa osoba atakuje użytkownika domowego? Zwykli użytkownicy Linuxa w domu mogą z łatwością tworzyć kopie zapasowe i przywracać je, i w żadnym wypadku nie zapłaciliby tak wielkich okupów. Teraz duże firmy borykają się z większymi problemami i zajmują więcej czasu i zasobów podczas tworzenia kopii zapasowych, a jeśli przypadkiem są zależne od wymazanych danych, musiałyby je przywrócić, aby uniknąć zarzutów ze strony klientów i że jest to śmiertelny atak, jedyną łatwą opcją byłoby zapłacenie okupu.
50calrevolver
Ponadto wielu użytkowników domowych będzie płakać przez jeden dzień lub zrobić, a następnie żyć dalej, zamiast płacić ogromny okup. KillDisk, jeśli tak naprawdę twierdzą strony, jest bardziej ransomware atakującym o wysokim profilu, mającym na celu wyłudzanie pieniędzy, a nie zabawnym, tworzącym anarchię atakiem. Jeśli tak się stanie, łatki bezpieczeństwa z pewnością spadną na wszystkie dystrybucje. Duże firmy nie są w stanie wytrzymać utraty danych, dlatego osoby atakujące atakują je na użytkowników domowych. Ponadto istnieje większe prawdopodobieństwo dalszej infekcji w dużych firmach z powodu kilku połączonych sieci.
50calrevolver
4

Ta odpowiedź zakłada, że ​​złośliwe oprogramowanie jest w rzeczywistości trojanem, tzn. Obraca się wokół użytkownika aktywnie uruchamiającego (być może jako root) coś podejrzanego.

Istnieje kilka powodów, dla których mówi się, że Linux jest bardziej odporny na wirusy niż Windows. Żaden z nich nie jest taki, że Linux jest z natury bezpieczniejszy niż Windows. Chociaż prawdą jest, że dystrybucje systemu Linux mają tendencję do ochrony plików systemu operacyjnego znacznie lepiej niż system Windows (chociaż jest to bardziej spowodowane tym, że system Windows musi być kompatybilny wstecz ze starszym oprogramowaniem niż jakakolwiek inna różnica), w każdym przypadku, który nie chroni Ciebie od ataków na twoje pliki osobiste lub bycie częścią botnetu, które są obecnie dwiema cechami wirusów.

Nie, główne powody to:

  1. Znacznie mniejsza baza użytkowników dla możliwych ataków. Chociaż było wiele ataków na serwery Linuksa , nie są one tutaj niezwykle istotne, ponieważ mają tendencję do wykorzystywania skrzynek, które zostały celowo pozostawione narażone na działanie Internetu, a zatem sposoby wykorzystania są zupełnie inne. Linux na pulpicie jest tak małym celem, że zazwyczaj nie jest tego wart.

  2. Dystrybucje Linuksa mają znacznie większe poczucie instalowania oprogramowania z zaufanych źródeł. Nie musisz się martwić, że Sourceforge wstrzykuje złośliwe oprogramowanie do twoich instalatorów, lub strona internetowa starego projektu została zhakowana, a pliki do pobrania zastąpione złośliwym oprogramowaniem, ponieważ nie jest to standardowe miejsce, z którego można pobrać oprogramowanie.

To drugie jest bardzo ważne. Jeśli Twoim nawykiem jest używanie Ubuntu tak, jakbyś używał systemu Windows - pobieranie oprogramowania przypadkowo z sieci, z przypadkowych źródeł i próby zmuszenia ich do ładnej instalacji w Twojej dystrybucji - będziesz miał zły czas. Powinieneś spróbować zainstalować tyle rzeczy, ile jest to możliwe z repozytoriów oprogramowania Ubuntu, które są znacznie dokładniej sprawdzone i bardzo mało prawdopodobne, aby zawierały złośliwe oprogramowanie. Jeśli potrzebujesz pobrać oprogramowanie ze źródeł zewnętrznych, powinieneś zachować tyle uwagi i staranności, jak ostrożny użytkownik zaawansowanego systemu Windows - upewnij się, że masz rozsądny sposób na zaufanie do źródła i nie ślepo uruchamiaj polecenia znalezione w Internecie bez zrozumienia, co robią! Uważaj szczególnie na wszystko, co wymaga rootowania (sudo), ale pamiętaj, że nawet rzeczy bez roota mogą wyrządzić wiele szkód rzeczom, które mają znaczenie.

Muzer
źródło
2

Zgadzając się ze wszystkimi innymi, w zasadzie chcę tylko podkreślić, że płynie tutaj podstawowy błąd: założenie, że program antywirusowy może tylko poprawić bezpieczeństwo (a zatem pytanie brzmi „czy potrzebuję programu antywirusowego lub czy to niepotrzebne ”).

Nie tylko program antywirusowy prawdopodobnie nie jest potrzebny w żadnym obecnym systemie GNU / Linux, ale jest bardzo prawdopodobne, że każdy program antywirusowy, który można znaleźć (a zwłaszcza taki, który jest głośno reklamowany) będzie szkodliwy dla bezpieczeństwa (bezpośrednio przez możliwość wykorzystania ma wady, jeśli nie backdoory, lub pośrednio, zachęcając Cię do bardziej niechlujnego bezpieczeństwa, ponieważ uważasz, że jesteś chroniony przez swój program antywirusowy).

Stefan
źródło
To bardzo dobra uwaga. Niektóre dowody byłyby bardzo mile widziane i zasługują na moją opinię.
Flimm,
1

Powiedziałbym, że tak, potrzebujesz jakiegoś antywirusa. Każdy, kto mówi, że „Linux (/ Ubuntu) jest zapisywany w wirusach”) powinien przeczytać: http://www.geekzone.co.nz/foobar/6229 Przykłady w tym artykule dotyczą Gnome / KDE, ale to nie to ważne: jest bardzo możliwe, działałoby to trochę inaczej na Ubuntu.

Tak, znacznie trudniej będzie ci zdobyć wirusa, jeśli zrobisz wszystkie aktualizacje, po prostu pobierzesz z zaufanych repozytoriów itp. Ale nie będziesz naprawdę chroniony przed wirusami. Oczywiście, nie jesteś całkowicie bezpieczny dzięki programowi antywirusowemu. Ale chroni cię nawet na innej warstwie, co nigdy nie jest złe. Może w Twojej sieci jest zainfekowane urządzenie? Ponadto wszyscy popełniają błędy, przeglądają niewłaściwą stronę z włączoną obsługą JavaScript lub cokolwiek innego.

A oprogramowanie ransomware w ogóle nie potrzebuje nawet specjalnych uprawnień do wykonania: jak zauważył @Jupotter, istnieje już duża możliwość uszkodzenia, jeśli ma domyślne uprawnienia użytkownika.

Namnodorel
źródło
1
To jest w rzeczywistości błędne. Oprogramowanie antywirusowe to odwrócony model bezpieczeństwa. Jest bardzo jasne, że pochodzisz ze świata Windows, znanego również jako świat „bezpieczeństwo to przemyślane”. Zobacz stronę, którą właśnie linkowałem.
Wildcard,
1
Czy masz konkretny powód, aby oczekiwać, że program antywirusowy będzie chronił przed tymi zagrożeniami? „Jak napisać wirusa Linuksa” brzmi, jakby każdy wirus był nieco inny i prawdopodobnie nie bardzo rozpowszechniony, dlatego nie zostanie wykryty przez program antywirusowy.
jpa
@Wildcard, jpa Artykuł, który podłączyłem w odpowiedzi, dotyczy dokładnie argumentacji twojego artykułu. Linux / Ubuntu jest równie podatny na głupotę użytkownika i „wygodę”. Program antywirusowy służy nie tylko do ochrony przed błędami w systemie, który nie został jeszcze naprawiony, ale jest również czymś, co: a) może wykryć istniejące popularne / znane wirusy b) skanować pliki w poszukiwaniu niebezpiecznych wzorców oraz c) stać przynajmniej trochę przeciwko głupocie, ostrzegając użytkownika przed złośliwymi plikami, które pobierają.
Namnodorel,
2
„Linux / Ubuntu jest równie podatny na głupotę użytkownika i„ wygodę ”.” Oczywiście. Jeśli zostaniesz poproszony o uruchomienie oprogramowania na swoim komputerze i jest to wirus, który wkręciłeś (i chętnie). Nikt cię przed tym nie ochroni. ALE ... wirus działający dziko i infekujący ponad 2 maszyny różnych ludzi NIE stanie się. NIE wszyscy uruchamiamy złośliwe oprogramowanie. Nasz system nie pozwala nam również bez naszej zgody. Jest duża różnica: nasz system od początku był przeznaczony dla wielu użytkowników, więc ma inne podejście do bezpieczeństwa. Windows nie był.
Rinzwind,
1
Podsumowując: „Inżynieria społeczna może skłonić ignorantów do uruchomienia destrukcyjnego kodu”. To nie jest wirus. I tak, czytam również kontynuację. Istnieje obszerniejszy artykuł, który dotyczy wszystkich tych punktów. Krótki fragment: „... społeczność Linuksa nie widziałaby prawdziwego rozróżnienia między nowicjuszami, którzy (jako root) zainfekowali swoje systemy, a tymi, którzy przypadkowo wpisali jakieś odmiany w„ rm -rf / ”, gdy byli zalogowani jako root: Oba są wynik braku doświadczenia i braku ostrożności. W obu przypadkach wykształcenie, uwaga i doświadczenie są w 100% skutecznym lekarstwem ”.
Wildcard,
-1

tak, program antywirusowy ochroni cię przed KillDisk, złośliwym oprogramowaniem, a także pomoże usunąć niepotrzebne muchy z komputera.

Zack Smith
źródło