Может ли антивирус защитить меня от KillDisk, вредоносного ПО для Linux?

19

Мой родственник недавно прислал мне письмо. Недавно он натолкнулся на этот тревожный заголовок от антивирусного производителя ESET:

KillDisk теперь нацелен на Linux: требует выкуп в 250 тысяч долларов, но не может расшифровать

Далее в электронном письме описывается часть программного обеспечения, которая шифрует содержимое диска и требует выкуп.

Мой родственник встревожен и чувствует, что теперь нужен антивирус.

Я чувствую, что в Ubuntu антивирус не нужен. Скорее, я чувствую, что лучшая защита для пользователя Ubuntu - это оперативная установка обновлений безопасности, регулярное резервное копирование и установка программного обеспечения только из надежных источников, таких как Ubuntu Software Center. Является ли этот совет устаревшим с появлением KillDisk?

security malware antivirus Флимм
источник
2
Не беспокойся Они просят столько денег, потому что они нацелены на учреждения, которые могут себе это позволить. Вернитесь через год или два, когда техника эксплойта станет достаточно удобной для широкого распространения и низкого выхода за инфекцию ≤1 BTC, как мы видим из других вредоносных программ. Если вам повезет, этого никогда не случится с настольными системами Linux, потому что преступникам выгоднее искать Windows и Android. ; -] Просто имейте под рукой недавнее резервное копирование в автономном режиме, так или иначе.
Дэвид Фёрстер
13
Просто глядя на код из этой статьи, выявляется огромный недостаток - авторы используют srand(time)и randдля генерации ключей! Это делает их тривиальными догадками (путем оценки времени атаки вируса или просто пробуя все ~ 2 ^ 24 возможностей за последний год), что означает, что вам не нужно сильно бояться этого конкретного варианта вируса.
nneonneo
@nneonneo Для ясности, у авторов вредоносного ПО есть огромный недостаток, а не у авторов статьи.
Flimm
1
Слабость криптовалюты также упоминается здесь для дальнейшей ссылки: bleepingcomputer.com/news/security/…
Джон У

Ответы:

20

Далее в электронном письме описывается часть программного обеспечения, которая шифрует содержимое диска и требует выкуп.

Как оно это делает? (конечно, статья не упоминает об этом ...). По ссылке ...

Основная процедура шифрования рекурсивно обходит следующие папки в корневом каталоге до 17 подкаталогов в глубину:

/ boot / bin / sbin / lib / security / lib64 / security / usr / local / etc / etc / mnt / share / media / home / usr / tmp / opt / var / root

По словам исследователей, «жертва зашифровывает файлы с использованием Triple-DES, примененного к 4096-байтовым блокам файлов», и «каждый файл шифруется с использованием другого набора 64-битных ключей шифрования».

Нам нужно знать, как они считают, что они могут обойти пароль администратора ...

  • Требуется ли пароль sudo?
  • Или он пытается взломать пароль sudo? Если да, насколько хорош ваш пароль?
  • Требуется ли вам загрузить это вредоносное ПО из почты и запустить его? (...) Если так ... не надо :-P

Лучший способ противостоять этому: создавать регулярные резервные копии и хранить более 1 резервной копии всего, что важно для вас. Всегда можно отформатировать диск, переустановить и восстановить чистую резервную копию.

Я чувствую, что в Ubuntu антивирус не нужен.

Я тоже! Но вирус - это лишь малая часть всех вредоносных программ. Вы также получили руткиты и программное обеспечение, как вы описали выше.

Является ли этот совет устаревшим с появлением KillDisk?

Нет! Этот совет - лучшее, что вы можете получить. На данный момент мы можем считать Ubuntu Software Center свободным от вредоносных программ. В этой статье и в похожих статьях мне не хватило 1 бита информации: как она на самом деле шифрует наши диски.

Rinzwind
источник
11
Если вирус может просто зашифровать домашний каталог пользователя, то есть, в конце концов, то, что действительно волнует пользователя .
Юпоттер
Проверьте статью. в нем четко перечислены каталоги вне дома. И это также предполагает, что личинка заменяется. И снова: не вирус. Вирус подразумевает распространение. Malware. Да.
Rinzwind
1
@Jupotter, тебе все еще нужно запустить код. В отличие от Microsoft, Linux не выполняет автоматически вложения электронной почты и тому подобное.
Wildcard
@Wildcard. Использует ли KillDisk какие-либо известные уязвимости в приложениях для выполнения кода или для его запуска требуется пользователь?
тангеры
1
@Wildcard: Не совсем верно для любого из двух. Ни Linux, ни Windows явно не выполняют вложения электронной почты. Однако HTML-рендереры и декодеры изображений, как правило, имеют уязвимости при выполнении произвольного кода, которые злоумышленник может превратить в удаленное выполнение кода с помощью электронной почты. В прошлом в Windows проблема была, как правило, хуже, чем в Linux, потому что средство визуализации HTML было встроено в ОС. Кроме того, пользователи Windows более обучены тому, чтобы вручную нажимать и выполнять все вложения электронной почты и загруженные файлы. В Linux все не так просто.
Дэвид Фёрстер
4

Очевидно, что Linux не совсем безопасен, но необходимость в антивирусном программном обеспечении не должна возникать, поскольку исправления безопасности загружаются регулярно. Также недавно появилось ПО для выкупа KillDisk, и известно, что оно предназначено только для коммерческих организаций и компаний, размещающих серверы. Домашние пользователи Linux должны быть в безопасности на данный момент. Что еще более важно, все пользователи Linux должны знать, как могут измениться привилегии суперпользователя / root, если разрешения предоставляются неизвестным вредоносным программам (результаты могут быть совершенно нежелательными или даже разрушительными). Конечно, поддержание регулярных резервных копий не должно быть проблемой для обычных пользователей.

50calrevolver
источник
Откуда вы знаете, что KillDisk предназначен только для бизнес-организаций? Почему не люди, а?
Flimm
В прошлом KillDisk предназначался для деловых организаций и компаний. Почему злоумышленник нацелен на домашнего пользователя? Обычные домашние пользователи Linux могут легко создавать резервные копии и восстанавливать их и ни в коем случае не будут платить такие огромные выкупы. Теперь крупные компании сталкиваются с более серьезными проблемами и занимают больше времени и ресурсов при создании резервных копий, и если по какой-либо причине они зависят от стертых данных, им придется восстанавливать данные, чтобы избежать обвинений со стороны клиентов и быть смертельной атакой. Единственный простой вариант - заплатить выкуп.
50calrevolver
Кроме того, многие домашние пользователи предпочитают оплакивать день или делать, а затем продолжать свою жизнь вместо того, чтобы платить огромный выкуп. KillDisk, если это действительно так, как утверждают сайты, - это скорее вымогательское ПО, предназначенное для вымогательства денег, а не забавная атака, создающая анархию. Если это произойдет, патчи безопасности обязательно выпадет дождь для всех дистрибутивов. Крупные компании не могут противостоять потере данных и, следовательно, злоумышленники нацеливают их на домашних пользователей. Кроме того, существует большая вероятность дальнейшего заражения в крупных компаниях из-за нескольких подключенных сетей.
50calrevolver
4

Этот ответ будет предполагать, что вредоносная программа на самом деле является трояном, то есть вращается вокруг пользователя, активно запускающего (возможно, от имени root) что-то подозрительное.

Существует несколько причин, по которым Linux считается более защищенным от вирусов, чем Windows. Ни одно из них не говорит о том, что Linux по своей природе более безопасен, чем Windows. Хотя дистрибутивы Linux, как правило, защищают файлы операционной системы гораздо лучше, чем Windows (хотя это больше связано с тем, что Windows требует обратной совместимости со старым программным обеспечением, чем с какими-либо внутренними различиями), в любом случае это не защищает вас. от атак на ваши личные файлы, или от участия в бот-сети - вот две вещи, которые в наши дни являются модными для вирусов.

Нет, основными причинами являются:

  1. Гораздо меньшая база пользователей для возможных атак. Несмотря на то, что было много атак, направленных на серверы Linux , они не являются удивительно релевантными в данном случае, поскольку они, как правило, используют блоки, которые намеренно оставлены открытыми для доступа в Интернет, и поэтому способы их использования совершенно иные. Linux на десктопе настолько мал, что обычно не стоит этого.

  2. У дистрибутивов Linux гораздо более сильный смысл устанавливать программы из надежных источников. Вам не нужно беспокоиться о том, что Sourceforge внедряет вредоносное ПО в ваши установщики, или о том, что сайт старого проекта был взломан, а загрузки заменены вредоносными программами, потому что это не стандартное место для получения программного обеспечения.

Итак, последнее очень важно. Если вы привыкли использовать Ubuntu так, как если бы вы использовали Windows - беспорядочно загружая программное обеспечение из Интернета, из случайных источников и пытаясь заставить их установить его в своем дистрибутиве - у вас будет плохое время. Вы должны попытаться установить столько вещей, сколько возможно из программных репозиториев Ubuntu, которые гораздо более тщательно проверены и вряд ли содержат вредоносное ПО. Если вам нужно загружать программное обеспечение из внешних источников, вам следует уделять столько внимания и внимания, сколько внимательному опытному пользователю Windows - убедитесь, что у вас есть разумный способ доверять источнику, а не просто слепо выполнять команды, которые вы нашел в интернете, не понимая, что они делают! Будьте особенно осторожны со всем, что требует root (sudo), но имейте в виду, что даже вещи без рута могут нанести большой вред вещам, которые имеют значение.

Muzer
источник
2

Соглашаясь со всеми остальными, в основном, я просто хочу отметить, что здесь возникает фундаментальная ошибка: предположение, что антивирус может только повысить безопасность (и, следовательно, вопрос только в том, нужен ли мне антивирус или это не нужно ").

Не только антивирус, вероятно, не нужен ни в одной из существующих систем GNU / Linux, но очень вероятно, что любой антивирус, который вы можете найти (и особенно тот, который рекламируется громко), будет вреден для безопасности (либо напрямую, имея возможность использовать недостатки, если не бэкдор, или косвенно, побуждая вас быть более небрежным в отношении безопасности, потому что вы думаете, что защищены вашим антивирусом).

Стефан
источник
Это очень хороший момент. Некоторые доказательства были бы очень кстати и заслужили мое одобрение.
Flimm
1

Я бы сказал, да, вам нужен какой-нибудь антивирус. Каждый, кто говорит, что «Linux (/ Ubuntu) является сохранением для вирусов», должен прочитать это: http://www.geekzone.co.nz/foobar/6229 Примеры в статье предназначены для Gnome / KDE, но это не то, что имеет значение: это очень возможно, это будет работать немного по-другому на Ubuntu.

Да, вам будет значительно сложнее заразиться вирусом, если вы сделаете все обновления, просто загрузите их из надежных репозиториев и т. Д. Но вы не будете действительно защищены от вирусов. Конечно, вы не полностью защищены антивирусом. Но он защищает вас даже на другом слое, который никогда не бывает плохим. Может быть, в вашей сети есть зараженное устройство? Кроме того, все делают ошибки, просматривают не тот сайт с включенным JavaScript или что-то еще.

И вымогателям в целом даже не нужны специальные разрешения для выполнения: как указывал @Jupotter, это уже большая вероятность повреждения, если у него есть права пользователя по умолчанию.

Namnodorel
источник
1
Это на самом деле неправильно. Антивирусное программное обеспечение является инвертированной моделью безопасности. Совершенно очевидно, что вы пришли из мира Windows, также известного как мир «безопасность - это запоздалая мысль». Смотрите страницу, которую я только что связал.
Wildcard
1
Есть ли у вас особая причина ожидать, что антивирусная программа защитит от этих угроз? «Как написать вирус Linux» звучит так, как будто каждый вирус будет немного отличаться и, вероятно, не будет широко распространен, поэтому антивирус не будет обнаружен.
JPA
@Wildcard, jpa Статья, на которую я ссылаюсь в своем ответе, точно описывает аргументацию вашей статьи. Linux / Ubuntu так же уязвимы для глупости пользователя и «удобства». Антивирус предназначен не только для защиты от ошибок в системе, которые еще не исправлены, но и для того, чтобы: а) обнаруживать существующие популярные / известные вирусы; б) проверять файлы на наличие опасных шаблонов ; в) стоять. по крайней мере, немного против глупости, предупреждая пользователя о вредоносных файлах, которые они загружают.
Намнодорел
2
«Linux / Ubuntu так же уязвимы для глупости пользователя и« удобства »». Конечно. Если вам говорят, что нужно запускать программное обеспечение на вашем компьютере, и это вирус, который вы взломали (и охотно). Никто не защитит вас от этого. НО ... вирус, работающий в диком виде и заражающий 2+ машины от разных людей, НЕ произойдет. Мы НЕ все запускаем вредоносное ПО. Наша система также не позволяет нам без нашего согласия. Существует большая разница: наша система была многопользовательской с самого начала, поэтому она имеет другой подход к безопасности. Винды не было.
Rinzwind
1
В итоге: «Социальная инженерия может заставить невежественных людей запускать деструктивный код». Это не вирус. И да, я также прочитал продолжение. Есть более обширная статья, в которой рассматриваются все эти моменты. Короткий отрывок: «... сообщество Linux не увидит реального различия между новичками, которые (как root) заражают свои системы, и теми, кто случайно вводит какой-то вариант в« rm -rf / », когда вошел в систему как root: оба являются результат неопытности и неосторожности. В обоих случаях образование, внимание и опыт - это 100% эффективное лекарство ».
Wildcard
-1

да, антивирус защитит вас от KillDisk, вредоносных программ, а также поможет вам удалить нежелательных мух с вашего компьютера.

Зак Смит
источник