Jak (nie) podatny byłby Ubuntu na szyfrowanie oprogramowania ransomware?

9

Edycja: różni się od sugerowanego duplikatu. Sugerowany duplikat dotyczy ogólnie wirusów i programów antywirusowych. To pytanie dotyczy w szczególności ransomware szyfrującego , sposobu jego działania i tego, czy wpłynie na zaszyfrowane foldery.

Obecnie wydaje się, że złośliwe oprogramowanie infekuje komputery z systemem Windows, szyfruje ich dane wbrew ich woli i prosi o okup Bitcoin w zamian za klucz szyfrujący.

Przypuszczam, że może nie być prawdopodobne, aby ktokolwiek napisał oprogramowanie ransomware dla systemu Linux, ale powiedzmy, że ktoś to zrobił:

Aby takie oprogramowanie działało „pomyślnie” na komputerze Ubuntu, czy użytkownik musiałby najpierw go uruchomić i podać hasło sudo? Czy takie zagrożenie jest możliwe na Ubuntu bez zrobienia tego przez użytkownika?

Gdyby pliki użytkowników były już zaszyfrowane, czy to by się przed tym zabezpieczyło? Czy program ransomware, jeśli nieświadomie zostanie zainstalowany przez użytkownika (który również potwierdził hasło sudo), może wziąć nawet wstępnie zaszyfrowanego zakładnika danych?

Ogólnie, w jaki sposób (nie) podatny jest Ubuntu na oprogramowanie ransomware szyfrujące i jak nieostrożne / nieświadome muszą być działania użytkownika, aby dane zostały wzięte jako zakładnik?

malware 
Revetahw mówi: Przywróć Monikę
źródło
2
Ubuntu nie jest odporne na oprogramowanie ransomware, ale tak samo jak w systemie Windows, użytkownik będzie musiał go zainstalować.
mikewhith
1
dr_
System operacyjny jest tak samo wrażliwy, jak każdy system plików niechroniony przed zapisem.
Braiam
1
Mówiąc najprościej, wszystko, na co jest podatny, rm -rf --no-preserve-root /jest również podatne na oprogramowanie ransomware.
Ajedi32,
@mikewhokolwiek to niekoniecznie tak. JavaScript Ransomware to teraz coś. Czas zainstalować NoScript lub ScriptSafe.
tjd

Odpowiedzi:

10

Aby takie oprogramowanie działało „pomyślnie” na komputerze Ubuntu, czy użytkownik musiałby najpierw go uruchomić i podać hasło sudo?

Nie, zakładam, że dane są Twoimi danymi osobowymi i „sudo” jest potrzebne dla plików systemowych.

Gdyby pliki użytkowników były już zaszyfrowane, czy to by się przed tym zabezpieczyło?

Nie. Dane to dane. Szyfrowanie nie odgrywa żadnej roli: oprogramowanie ransomware zablokuje same dane

Czy program ransomware, jeśli nieświadomie zostanie zainstalowany przez użytkownika (który również potwierdził hasło sudo), może wziąć nawet wstępnie zaszyfrowanego zakładnika danych?

Tak. Nie byliby w stanie PRZEGLĄDAĆ danych, ale nie taki był ich zamiar. Szyfrowanie nie jest też w żaden sposób ważne: blokują „pojemnik”.

Ogólnie, w jaki sposób (nie) podatny jest Ubuntu na oprogramowanie ransomware szyfrujące i jak nieostrożne / nieświadome muszą być działania użytkownika, aby dane zostały wzięte jako zakładnik?

Ktoś musi najpierw stworzyć sytuację, w której ty i wiele innych osób będzie chciało pobrać i zainstalować swoje oprogramowanie. Jest to przeszkoda, której nawet twórcy wirusów nie byli w stanie podjąć.

Cała idea oprogramowania ransomware polega na atakowaniu jak największej liczby użytkowników w możliwie najkrótszym czasie.

Gdy tylko 1 użytkownik Linuksa zostanie zaatakowany, a jego dane zostaną skażone, rozpęta się piekło, aw ciągu kilku minut wszyscy zostaniemy w jakiś sposób poinformowani. Zobacz, co się stało, kiedy pojawił się błąd OpenSSL. W ciągu kilku minut wszystkie strony internetowe miały historię do opowiedzenia. To samo z błędem jądra, który pojawił się 2 dni temu. Wszyscy wskoczyli na to. Jeśli tak się stanie, nie widzę tego więcej niż kilku użytkowników. Do tego czasu wszyscy jesteśmy poinformowani lub, jeśli to możliwe, zostanie wprowadzona poprawka do metody, której używali (jak dziura w jądrze lub w przeglądarce, którą wykorzystali).

Większość z nas korzysta z Centrum Oprogramowania Ubuntu. Jak prawdopodobne jest, że to złośliwe oprogramowanie trafi do Centrum oprogramowania Ubuntu? Następnie korzystamy z PPA. Informacje na temat tych umów PPA otrzymujemy z witryn takich jak omg.ubuntu.co.uk lub webupd8 lub z zaufanych kanałów Ubuntu.

Taka jest również różnica między Linux / Ubuntu a Windows: użytkownicy systemu Windows proszeni są o pobieranie i instalowanie oprogramowania z dowolnej strony internetowej, którą mogą znaleźć. W większości tego nie robimy. Ilość bzdur, które można pobrać dla systemu Windows jest kilkakrotnie wyższa niż w przypadku jakiegokolwiek innego systemu operacyjnego. Sprawia, że ​​Windows jest łatwiejszym celem.

Rinzwind
źródło
Bardzo szczegółowa odpowiedź, bardzo doceniana.
Revetahw mówi: Przywróć Monikę
2
> Ktoś musi najpierw stworzyć sytuację, w której ty i wiele innych osób będzie chciało pobrać i zainstalować swoje oprogramowanie. => to najczęstszy wektor, tak, ale RCE to kolejna możliwość. Może to być za pośrednictwem przeglądarki lub innej usługi sieciowej (nawet błąd w module Wi-Fi?). Ransomware po prostu zaoszczędziłoby im kłopotu ze znalezieniem wulgaryzacji eskalacji uprawnień.
Bob
Zawsze jestem zdumiony, gdy widzę, że użytkownik systemu Windows instaluje oprogramowanie, wpisując nazwę w google i klikając pierwszy link, nie zastanawiając się nad poprawnością źródła (oczywiście nie wszyscy użytkownicy systemu Windows, ale przynajmniej kilku wiedzieć)
njzk2
@ Bob tak prawda. Zobacz błąd jądra 3 dni temu. Wymaga to jednak dokładnych umiejętności kodowania, co wyklucza wykonawców kodu. Wierzę, że inżynieria społeczna byłaby większym problemem niż RCE.
Rinzwind
9

Aby takie oprogramowanie działało „pomyślnie” na komputerze Ubuntu, czy użytkownik musiałby najpierw go uruchomić i podać hasło sudo?

Oczywiście, uruchom to. Podaj hasło sudo, nie. Hasło sudo jest potrzebne do modyfikacji plików systemowych lub ustawień. Jednak ransomware szyfruje osobiste pliki użytkownika, które są w pełni dostępne dla użytkownika bez hasła. Jednak hasło sudo byłoby potrzebne do szyfrowania plików innych użytkowników.

Gdyby pliki użytkowników były już zaszyfrowane, czy to by się przed tym zabezpieczyło?

Nie. Ransomware szyfruje zaszyfrowane pliki, więc przy próbie odszyfrowania ich przy użyciu oryginalnego klucza deszyfrowanie nie będzie działać. Obrazowo blokujesz pliki w skrzynce (której masz klucz), a oprogramowanie ransomware blokuje ją w większej skrzynce, której nie masz klucza.

fkraiem
źródło
2
Tak, ponieważ użytkownik zawsze ma pełną kontrolę nad swoimi plikami. Jednak bez hasła sudo szkody będą ściśle ograniczone do konta tego użytkownika.
fkraiem
1
Czy nie mogę po prostu usunąć zaszyfrowanych plików i przywrócić je z kopii zapasowej?
Jos
7
Zawsze możesz przywrócić pliki z kopii zapasowej, oczywiście ...
fkraiem
4
Z pewnością nie szyfrują całego systemu plików, w takim przypadku system nie uruchomi się, a użytkownik nie będzie mógł zapłacić. Szyfrują pojedyncze pliki, które uważa się za ważne dla użytkownika (dokumenty, zdjęcia itp.). Jeśli użytkownik ma kopię zapasową, może przywrócić z niej pliki, ale wiele osób tego nie robi.
fkraiem
1
@TripeHound To zależy. W wielu przypadkach sudo-autoryzacja odbywa się na pty / tty / terminal. Ponadto zawsze dobrym pomysłem byłoby wyczyszczenie i ponowna instalacja przed przywróceniem kopii zapasowych, aby upewnić się, że nie ma plików wykonywalnych ransomware ukrywających się w losowych lokalizacjach dla poszczególnych użytkowników.
nanofarad
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.