Quanto sarebbe (in) vulnerabile Ubuntu al ransomware di crittografia?

Modifica: è diverso dal duplicato suggerito. Il duplicato suggerito riguarda virus e antivirus in generale. Questa domanda riguarda in particolare il ransomware di crittografia , come può essere eseguito e se influirà sulle cartelle crittografate.

In questi giorni, il software dannoso sembra infettare i computer Windows, crittografare i loro dati contro la loro volontà e chiedere un riscatto Bitcoin in cambio della chiave di crittografia.

Suppongo che sia improbabile che qualcuno codifichi il ransomware per Linux, ma diciamo che qualcuno ha fatto:

Affinché un software del genere funzioni "con successo" su una macchina Ubuntu, l'utente dovrebbe prima eseguirlo e fornire la password sudo? Una simile minaccia è concepibile su Ubuntu senza che l'utente lo faccia?

Se i file degli utenti fossero già crittografati, ciò proteggerebbe da ciò? Un programma ransomware, se installato involontariamente da un utente (che ha anche confermato con la password sudo), potrebbe persino prendere in ostaggio i tuoi dati pre-crittografati?

In generale, quanto (in) è vulnerabile Ubuntu al ransomware di crittografia e quanto negligente / disavventura devono essere le azioni di un utente per far sì che i suoi dati vengano effettivamente presi in ostaggio?

malware

— Revetahw dice Reinstate Monica
fonte

Ubuntu non è invulnerabile al ransomware, ma, come su Windows, l'utente dovrà installarlo.

— mikewhatever,

Possibile duplicato di Devo avere installato 'software antivirus'?

— dr_

Per quanto vulnerabile come qualsiasi file system non protetto da scrittura, il sistema operativo non ha importanza.

— Braiam,

In poche parole, tutto ciò che è vulnerabile rm -rf --no-preserve-root /è anche vulnerabile al ransomware.

— Ajedi32,

@mikewhatever non è necessario. JavaScript Ransomware è ora una cosa. È ora di installare NoScript o ScriptSafe.

— giovedì

Risposte:

Affinché un software del genere funzioni "con successo" su una macchina Ubuntu, l'utente dovrebbe prima eseguirlo e fornire la password sudo?

No, suppongo che i dati siano i tuoi dati personali e "sudo" è necessario per i file di sistema.

Se i file degli utenti fossero già crittografati, ciò proteggerebbe da ciò?

No. I dati sono dati. La crittografia non ha alcun ruolo: il ransomware bloccherà i dati stessi

Un programma ransomware, se installato involontariamente da un utente (che ha anche confermato con la password sudo), potrebbe persino prendere in ostaggio i tuoi dati pre-crittografati?

Sì. Non sarebbero stati in grado di VISUALIZZARE i dati ma questa non era la loro intenzione. Né la crittografia è in alcun modo importante: bloccano il tuo "contenitore".

In generale, quanto (in) è vulnerabile Ubuntu al ransomware di crittografia e quanto negligente / disavventura devono essere le azioni di un utente per far sì che i suoi dati vengano effettivamente presi in ostaggio?

Qualcuno deve prima creare una situazione in cui tu e molti altri siete disposti a scaricare e installare il loro software. Questo è un ostacolo che nemmeno gli autori di software antivirus sono stati in grado di affrontare.

L'intera idea del ransomware è quella di indirizzare il maggior numero possibile di utenti nel minor tempo possibile.

Non appena 1 utente Linux viene preso di mira e in realtà i suoi dati vengono contaminati, l'inferno si scatenerà e in pochi minuti tutti noi verremo informati in qualche modo. Guarda cosa è successo quando è apparso il bug OpenSSL. Nel giro di pochi minuti tutti i siti Web IT avevano una storia da raccontare. Lo stesso con il bug del kernel apparso 2 giorni fa. Tutti ci sono saltati sopra. Se succede, non vedo che ciò accada a più di pochi utenti. A quel punto tutti noi siamo stati informati o, se possibile, ci sarà una correzione per il metodo che hanno usato (come un buco nel kernel o in un browser che hanno sfruttato).

Molti di noi usano Ubuntu Software Center. Quanto è probabile che questo malware finisca in Ubuntu Software Center? Quindi utilizziamo i PPA. Le informazioni per quei PPA che riceviamo da siti come omg.ubuntu.co.uk o webupd8 o da canali Ubuntu affidabili.

Questa è anche la differenza tra Linux / Ubuntu e Windows: agli utenti Windows viene chiesto di scaricare e installare software da qualsiasi sito Web che riescano a trovare. Per lo più non lo facciamo. Quindi la quantità di schifezze che puoi scaricare per Windows è parecchie volte superiore rispetto a qualsiasi altro sistema operativo. Windows rende un obiettivo più semplice.

— Rinzwind
fonte

Risposta molto dettagliata, molto apprezzata.

— Revetahw dice di reintegrare Monica il

> Prima qualcuno deve creare una situazione in cui tu e molti altri siete disposti a scaricare e installare il loro software. => questo è il vettore più comune, sì, ma un RCE è un'altra possibilità. Potrebbe essere tramite il tuo browser o qualsiasi altro servizio di rete (anche un bug nel modulo wifi?). Il ransomware risparmierebbe loro il problema di trovare un vulcano di escalation di privilegi.

— Bob,

Sono sempre stupito quando vedo un utente di Windows installare un software digitando il nome in google e facendo clic sul primo collegamento senza chiedersi della validità della fonte (che non sarebbero tutti gli utenti di Windows, ovviamente, ma almeno diversi che ho sapere)

— njzk2

@Bob sì vero. Vedi il bug del kernel 3 giorni fa. Ma ciò richiede capacità di codifica approfondite in modo da escludere i boia. Credo che il social engineering sarebbe un problema più grande dei RCE.

— Rinzwind,

Affinché un software del genere funzioni "con successo" su una macchina Ubuntu, l'utente dovrebbe prima eseguirlo e fornire la password sudo?

Eseguilo, sì, certo. Dai la password sudo, no. La password sudo è necessaria per modificare i file o le impostazioni di sistema. Tuttavia, il ransomware crittografa i file personali dell'utente, che sono completamente accessibili all'utente senza una password. La password sudo sarebbe comunque necessaria per crittografare i file di altri utenti.

Se i file degli utenti fossero già crittografati, ciò proteggerebbe da ciò?

No. Il ransomware crittograferebbe i file crittografati, in modo che quando si tenta di decrittografarli con la chiave originale, la decrittografia non funzionasse. Pittoricamente, blocchi i tuoi file all'interno di una scatola (di cui hai la chiave) e il ransomware blocca la tua scatola in una scatola più grande, di cui non hai la chiave.

— fkraiem
fonte

Sì, perché un utente ha sempre il pieno controllo dei propri file. Senza la password sudo, tuttavia, i danni saranno strettamente limitati all'account dell'utente.

— fkraiem,

Non potrei semplicemente rimuovere i file crittografati e ripristinarli dal backup?

— Jos

Puoi sempre ripristinare i file da un backup, ovviamente ...

— fkraiem

Certamente non crittografano l'intero filesystem, in tal caso il sistema non si avvia più e l'utente non avrebbe modo di pagare. Crittografano i singoli file che si presume siano importanti per l'utente (documenti, immagini, ecc.). Se l'utente ha un backup, può ripristinare i file da esso, ma molte persone no.

— fkraiem,

@TripeHound Dipende. In molti casi l'autorizzazione sudo è per pty / tty / terminal. Inoltre, sarebbe sempre una buona misura cancellare e reinstallare prima di ripristinare i backup per assicurarsi che non vi siano eseguibili ransomware nascosti in posizioni casuali per utente.

— nanofarad,