Un antivirus può proteggermi da KillDisk, malware per Linux?

19

Di recente un mio parente mi ha inviato un'e-mail. Di recente si è imbattuto in questo allarmante titolo del fornitore di antivirus ESET:

KillDisk ora è destinato a Linux: richiede un riscatto di $ 250.000, ma non può decrittografare

L'email prosegue descrivendo un software che crittografa il contenuto del disco e richiede un riscatto.

Il mio parente è allarmato e sente che ora è sicuramente necessario un antivirus.

Sento fortemente che non è necessario un antivirus su Ubuntu. Piuttosto, ritengo che la migliore protezione per un utente Ubuntu sia installare prontamente gli aggiornamenti di sicurezza, mantenere backup regolari e installare solo software da fonti affidabili come Ubuntu Software Center. Questo consiglio è ormai obsoleto con l'avvento di KillDisk?

security  malware  antivirus 
Flimm
fonte
2
Non ti preoccupare. Stanno solo chiedendo così tanti soldi perché prendono di mira istituzioni che possono permetterselo. Torna tra un anno o due quando la tecnica dell'exploit è stata sufficientemente mercificata per un'ampia diffusione e un basso rendimento per infezione di ≤1 BTC come stiamo vedendo da altri malware. Se sei fortunato, questo non accadrà mai alle installazioni desktop di Linux perché è più economico per i criminali inseguire Windows e Android. ; -] Tieni a portata di mano un recente backup offline come dovresti comunque.
David Foerster,
13
Solo guardando il codice di quell'articolo emerge una grande debolezza: gli autori stanno usando srand(time)e randper generare le chiavi! Questo li rende banalmente indovinabili (stimando il tempo di attacco del virus, o semplicemente provando tutte le ~ 2 ^ 24 possibilità dell'ultimo anno), il che significa che non dovresti avere molto da temere da questa particolare variante del virus.
nneonneo,
@nneonneo Per essere chiari, gli autori del malware hanno un enorme punto debole, non gli autori dell'articolo.
Flimm,
1
Debolezza della cripto menzionata anche qui per ulteriori riferimenti: bleepingcomputer.com/news/security/…
John U

Risposte:

20

L'email prosegue descrivendo un software che crittografa il contenuto del disco e richiede un riscatto.

Come lo fa? (ovviamente l'articolo non menziona questo ...). Dal link ...

La routine di crittografia principale attraversa ricorsivamente le seguenti cartelle all'interno della directory principale fino a 17 sottodirectory in profondità:

/ boot / bin / sbin / lib / security / lib64 / security / usr / local / etc / etc / mnt / share / media / home / usr / tmp / opt / var / root

Secondo i ricercatori, i "file della vittima vengono crittografati utilizzando Triple-DES applicato a blocchi di file a 4096 byte" e "ogni file viene crittografato utilizzando un diverso set di chiavi di crittografia a 64 bit".

Dobbiamo sapere come credono di poter eludere la password dell'amministratore ...

  • Richiede una password sudo?
  • O tenta di forzare la password sudo? In tal caso, quanto è buona la tua password?
  • È necessario scaricare questo malware dalla posta ed eseguirlo? (...) Se è così ... non :-P

Il miglior metodo per contrastare questo: creare backup regolari e conservare più di 1 backup di qualsiasi cosa importante per te. È sempre possibile formattare un disco e reinstallarlo e ripristinare un backup pulito.

Sento fortemente che non è necessario un antivirus su Ubuntu.

Anch'io! Ma un virus è solo una piccola parte di tutto il malware. Hai anche rootkit e crapware come quello che descrivi sopra.

Questo consiglio è ormai obsoleto con l'avvento di KillDisk?

No! Questo consiglio è il migliore che puoi ottenere. Al momento possiamo considerare Ubuntu Software Center privo di malware. Quell'articolo e articoli simili che ho trovato mancano tutti 1 bit di informazioni: come crittografa effettivamente i nostri dischi.

Rinzwind
fonte
11
Se il virus può semplicemente crittografare la home directory dell'utente, che è, alla fine, ciò di cui l'utente si preoccupa davvero .
Giove
Controlla l'articolo elenca chiaramente le directory fuori casa. E suggerisce anche che grub viene sostituito. E ancora: non un virus. Un virus implica la diffusione. Malware. Sì.
Rinzwind
1
@Jupotter, devi ancora eseguire il codice. A differenza di Microsoft, Linux non esegue automaticamente allegati e-mail e simili.
Wildcard il
@Wildcard KillDisk sfrutta qualsiasi tipo di vulnerabilità nota all'interno delle applicazioni per l'esecuzione di codice o richiede effettivamente un utente per eseguirlo?
Tangrs
1
@Wildcard: non del tutto vero per nessuno dei due. Né Linux né Windows eseguono esplicitamente allegati di posta elettronica. Tuttavia, i renderer HTML e i decodificatori di immagini tendono ad avere vulnerabilità arbitrarie nell'esecuzione di codice che un utente malintenzionato potrebbe trasformare in un'esecuzione di codice remota con un'e-mail. In passato su Windows il problema tendeva ad essere peggio che su Linux perché il renderer HTML era collegato al sistema operativo. Inoltre, gli utenti Windows sono più preparati a fare clic ed eseguire manualmente tutti gli allegati di posta elettronica e i file scaricati. Su Linux non è così semplice.
David Foerster,
4

Come ovvio, Linux non è completamente sicuro, ma la necessità di software antivirus non dovrebbe sorgere dato che le patch di sicurezza vengono scaricate regolarmente. Anche il riscatto di KillDisk è emerso di recente ed è noto per colpire solo le organizzazioni aziendali e le società che ospitano server. Gli utenti di Home Linux dovrebbero essere al sicuro sin da ora. Ancora più importante, tutti gli utenti Linux devono sapere quanta differenza possono fare i privilegi di superutente / root, se le autorizzazioni sono concesse a programmi sconosciuti e dannosi (i risultati possono essere completamente indesiderati o addirittura devastanti). Naturalmente, il mantenimento di backup regolari non dovrebbe essere un problema per gli utenti regolari.

50calrevolver
fonte
Come fai a sapere che KillDisk si rivolge solo alle organizzazioni aziendali? Perché non anche gli individui?
Flimm,
In passato, KillDisk ha preso di mira organizzazioni e aziende. Perché una persona malintenzionata dovrebbe prendere di mira un utente domestico? Gli utenti Linux domestici normali possono facilmente creare backup e ripristinarli e non pagherebbero in alcun modo tali enormi riscatti. Ora le grandi aziende affrontano problemi maggiori e impiegano più tempo e risorse durante la creazione di backup e se per caso dipendono dai dati cancellati, dovrebbero ripristinare i dati per evitare accuse penali da parte dei clienti ed essere l'attacco mortale che è, il l'unica opzione facile sarebbe quella di pagare il riscatto.
50calvolvolver
Inoltre, molti utenti domestici sceglieranno di lamentarsi per un giorno o di fare e poi andare avanti con la propria vita invece di pagare l'enorme riscatto. KillDisk, se in realtà è ciò che i siti affermano di essere, è più un ransomware di attacco di alto profilo volto a estorcere denaro e non un divertente, anarchia che crea un attacco. Se le circostanze aumentano, le patch di sicurezza sicuramente pioveranno per tutte le distro. Le grandi aziende non sono in grado di resistere alla perdita di dati e, pertanto, gli utenti malintenzionati prendono di mira gli utenti domestici. Inoltre, vi sono maggiori possibilità di ulteriori infezioni nelle grandi aziende a causa di diverse reti connesse.
50calvolvolver
4

Questa risposta supporrà che il malware sia in realtà un trojan, ovvero che ruota attorno all'utente che esegue attivamente (forse come root) qualcosa di sospetto.

Ci sono alcuni motivi per cui si dice che Linux sia più a prova di virus di Windows. Nessuno di loro è che Linux è intrinsecamente più sicuro di Windows. Mentre è vero che le distro Linux tendono a proteggere i file del sistema operativo molto meglio di Windows (anche se questo è più dovuto al fatto che Windows deve essere retrocompatibile con i software più vecchi rispetto a qualsiasi differenza intrinseca), in ogni caso ciò non ti protegge dagli attacchi contro i tuoi file personali o dall'essere parte di una botnet, che sono le due cose che vanno di moda in questi giorni.

No, i motivi principali sono:

  1. Base utenti molto più piccola per possibili attacchi. Mentre ci sono stati molti attacchi che colpiscono i server Linux , questi non sono sorprendentemente rilevanti qui, poiché tendono a sfruttare caselle che sono state deliberatamente lasciate esposte a Internet, e quindi i mezzi di sfruttamento sono totalmente diversi. Linux sul desktop è un obiettivo così piccolo che di solito non ne vale davvero la pena.

  2. Le distro Linux hanno un senso molto più forte di installare software da fonti attendibili. Non devi preoccuparti che Sourceforge abbia iniettato malware nei tuoi installatori o che il sito Web di un vecchio progetto sia stato violato e che i download siano stati sostituiti con malware, perché questo non è il luogo standard da cui ottenere il software.

Quindi, quest'ultimo è molto importante. Se hai l'abitudine di usare Ubuntu come faresti con Windows, scaricando il software a casaccio dal Web, da fonti casuali e provando a farli installare bene nella tua distribuzione, avrai dei brutti momenti. Dovresti provare a installare tutte le cose possibili dai repository di software di Ubuntu, che sono molto più attentamente controllati e molto probabilmente non contengono malware. Se hai bisogno di scaricare software da fonti esterne, dovresti usare la dovuta cura e attenzione come farebbe un attento utente esperto di Windows: assicurati di avere un modo ragionevole di fidarti della fonte e non eseguire semplicemente i comandi ciecamente trovato su internet senza capire cosa stanno facendo! Diffidare in particolare di tutto ciò che richiede root (sudo), ma tieni presente che anche le cose senza radice possono danneggiare molto le cose che contano.

Muzer
fonte
2

Pur essendo d'accordo con tutti gli altri, in sostanza, voglio solo sottolineare che c'è un errore fondamentale che galleggia qui: il presupposto che un antivirus può solo migliorare la sicurezza (e quindi la domanda è solo "ho bisogno di un antivirus o non è necessario ").

Probabilmente non solo un antivirus non è necessario in nessun sistema GNU / Linux attuale, ma è molto probabile che qualsiasi antivirus che si possa trovare (e in particolare uno pubblicizzato ad alta voce) sia dannoso per la sicurezza (sia direttamente che sfruttabile difetti se non backdoor, o indirettamente incoraggiandoti ad essere più sciatto in termini di sicurezza perché pensi di essere protetto dal tuo antivirus).

Stefan
fonte
Questo è un ottimo punto. Alcune prove sarebbero molto ben accette e guadagnerebbero il mio voto.
Flimm,
1

Direi, sì, hai bisogno di un antivirus di qualche tipo. Tutti quelli che dicono che "Linux (/ Ubuntu) sono salvati in virus" dovrebbero leggere questo: http://www.geekzone.co.nz/foobar/6229 Gli esempi nell'articolo sono per Gnome / KDE, ma non è quello conta: è molto possibile, funzionerebbe in modo leggermente diverso su Ubuntu.

Sì, sarà significativamente più difficile per te ottenere un virus nel caso in cui tu faccia tutti gli aggiornamenti, scarichi semplicemente da repository fidati, ecc. Ma non sarai davvero sicuro contro i virus. Certo, non sei nemmeno completamente salvato con un antivirus. Ma ti protegge anche su un altro livello, che non è mai una brutta cosa. Forse c'è un dispositivo infetto nella tua rete? Inoltre, tutti commettono errori, navigano sul sito Web sbagliato con JavaScript abilitato o altro.

E il ransomware in generale non ha nemmeno bisogno di autorizzazioni speciali per essere eseguito: come ha sottolineato @Jupotter, è già un sacco di possibilità di danno se ha autorizzazioni utente predefinite.

Namnodorel
fonte
1
Questo è di fatto sbagliato. Il software antivirus è un modello di sicurezza invertito. È molto chiaro che vieni dal mondo Windows, noto anche come il mondo "la sicurezza è un ripensamento". Vedi la pagina che ho appena collegato.
Wildcard il
1
Hai un motivo specifico per aspettarti che un programma antivirus protegga da tali minacce? "Come scrivere un virus Linux" sembra che ogni virus sia leggermente diverso e probabilmente non molto diffuso, quindi non rilevato dall'antivirus.
jpa,
@Wildcard, jpa L'articolo che ho collegato nella mia risposta affronta esattamente l'argomentazione del tuo articolo. Linux / Ubuntu è altrettanto vulnerabile contro la stupidità dell'utente e le "cose ​​utili". Un antivirus non è solo lì per proteggere dai bug in un sistema che non è già stato corretto, ma è anche qualcosa che a) Può rilevare virus noti / noti esistenti b) Scansionare i file alla ricerca di schemi pericolosi, e c) Stand almeno un po 'contro la stupidità avvisando l'utente di file dannosi che scaricano.
Namnodorel,
2
"Linux / Ubuntu è altrettanto vulnerabile contro la stupidità dell'utente e le" cose utili "." Ovviamente. Se ti viene chiesto di eseguire software sul tuo computer ed è un virus che hai fregato (e volentieri). Nessuno ti proteggerà da quello. MA ... un virus in esecuzione selvaggia e che infetta 2+ macchine da persone diverse NON accadrà. NON eseguiamo tutti software dannoso. Né il nostro sistema ci consente senza il nostro consenso. C'è una grande differenza: il nostro sistema era multiutente sin dall'inizio, quindi ha un approccio diverso alla sicurezza. Windows no.
Rinzwind,
1
Riassumendo: "L'ingegneria sociale può indurre le persone ignoranti a eseguire codice distruttivo". Questo non è un virus. E sì, ho letto anche il seguito. C'è un articolo più ampio che affronta tutti questi punti. Un breve estratto: "... la comunità Linux non vedrebbe alcuna reale distinzione tra i novizi che (come root) infettano i loro sistemi e quelli che accidentalmente digitano una variazione su" rm -rf / "mentre si accede come root: entrambi sono un risultato di inesperienza e mancanza di cautela. In entrambi i casi, istruzione, attenzione ed esperienza sono una cura efficace al 100%. "
Wildcard il
-1

sì, un antivirus ti proteggerà da KillDisk, malware e ti aiuterà anche a rimuovere le mosche indesiderate dal tuo computer.

Zack Smith
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.