โปรแกรมป้องกันไวรัสสามารถป้องกันฉันจาก KillDisk มัลแวร์สำหรับ Linux ได้หรือไม่


19

ญาติของฉันเพิ่งส่งอีเมลถึงฉัน เมื่อเร็ว ๆ นี้เขาได้พบกับหัวหน้าที่น่าตกใจจากผู้จำหน่ายแอนตี้ไวรัส ESET:

KillDisk กำหนดเป้าหมายเป็น Linux: เรียกค่าไถ่ $ 250K แต่ไม่สามารถถอดรหัสได้

อีเมลจะอธิบายชิ้นส่วนของซอฟต์แวร์ที่เข้ารหัสเนื้อหาของดิสก์และเรียกร้องค่าไถ่

ญาติของฉันตื่นตระหนกและรู้สึกว่าจำเป็นต้องมีโปรแกรมป้องกันไวรัส

ฉันรู้สึกอย่างยิ่งว่าไม่จำเป็นต้องมีโปรแกรมป้องกันไวรัสใน Ubuntu แต่ฉันรู้สึกว่าการป้องกันที่ดีที่สุดสำหรับผู้ใช้ Ubuntu คือการติดตั้งอัปเดตความปลอดภัยทันทีเพื่อสำรองข้อมูลปกติและติดตั้งซอฟต์แวร์จากแหล่งที่เชื่อถือได้เช่น Ubuntu Software Center คำแนะนำนั้นล้าสมัยแล้วหรือไม่กับการมาถึงของ KillDisk?


2
ไม่ต้องกังวล พวกเขาแค่ขอเงินจำนวนมากเท่านั้นเพราะพวกเขากำลังกำหนดเป้าหมายสถาบันที่สามารถจ่ายได้ กลับมาอีกครั้งในปีหรือสองปีเมื่อเทคนิคการหาประโยชน์ได้รับการรับรองอย่างเพียงพอสำหรับการแพร่กระจายที่กว้างขวางและผลผลิตต่อการติดเชื้อต่ำที่ B1 BTC เหมือนที่เราเห็นจากมัลแวร์อื่น ๆ หากคุณโชคดีสิ่งนี้จะไม่เกิดขึ้นกับการติดตั้งบนเดสก์ท็อปของ Linux เพราะมันประหยัดกว่าที่อาชญากรจะไล่ตาม Windows และ Android ; -] เพิ่งมีการสำรองข้อมูลออฟไลน์เมื่อเร็ว ๆ นี้ซึ่งมีประโยชน์อย่างที่คุณควร
David Foerster

13
เพียงแค่ดูที่รหัสจากบทความนั้นจุดอ่อนขนาดใหญ่เด่นชัด- ผู้เขียนใช้srand(time)และrandสร้างคีย์! ซึ่งทำให้พวกเขานิด ๆเข้าใจได้ (โดยประมาณเวลาของการโจมตีของไวรัสหรือเพียงแค่พยายามทุก ~ 2 ^ 24 ความเป็นไปได้จากปีที่ผ่านมา) ซึ่งหมายความว่าคุณไม่ควรมีมากที่จะกลัวจากตัวแปรนี้โดยเฉพาะอย่างยิ่งของไวรัส
nneonneo

@nneonneo เพื่อให้ชัดเจนผู้เขียนมัลแวร์มีจุดอ่อนมากไม่ใช่ผู้เขียนบทความ
Flimm

1
จุดอ่อนของการเข้ารหัสลับยังกล่าวถึงที่นี่สำหรับการอ้างอิงเพิ่มเติม: bleepingcomputer.com/news/security/ …
John U

คำตอบ:


21

อีเมลจะอธิบายชิ้นส่วนของซอฟต์แวร์ที่เข้ารหัสเนื้อหาของดิสก์และเรียกร้องค่าไถ่

มันทำอย่างไร (แน่นอนบทความไม่ได้พูดถึงว่า ... ) จากลิงค์ ...

รูทีนการเข้ารหัสหลักเรียกซ้ำโฟลเดอร์ภายในต่อไปนี้ภายในไดเร็กทอรีรูทสูงสุด 17 ไดเร็กทอรีย่อยในเชิงลึก:

/ boot / bin / sbin / lib / ความปลอดภัย / lib64 / ความปลอดภัย / usr / local / etc / ฯลฯ / mnt / share / media / home / usr / tmp / opt / var / root

นักวิจัยระบุว่า "ไฟล์ของเหยื่อถูกเข้ารหัสโดยใช้ Triple-DES ที่ใช้กับบล็อกไฟล์ 4096- ไบต์" และ "แต่ละไฟล์นั้นถูกเข้ารหัสโดยใช้คีย์เข้ารหัส 64 บิตชุดอื่น"

เราจำเป็นต้องรู้วิธีที่พวกเขาเชื่อว่าพวกเขาสามารถหลีกเลี่ยงรหัสผ่านของผู้ดูแลระบบ ...

  • มันต้องใช้รหัสผ่าน sudo หรือไม่?
  • หรือพยายามบังคับใช้รหัสผ่าน sudo หรือไม่ รหัสผ่านของคุณดีแค่ไหน?
  • มันต้องการให้คุณดาวน์โหลดมัลแวร์นี้จากอีเมลและเรียกใช้หรือไม่ (... ) ถ้าใช่ ... ไม่ :-P

วิธีที่ดีที่สุดในการจัดการกับปัญหานี้: สร้างการสำรองข้อมูลปกติและสำรองข้อมูลมากกว่า 1 รายการที่สำคัญสำหรับคุณ เป็นไปได้เสมอที่จะฟอร์แมตดิสก์และติดตั้งใหม่และกู้คืนข้อมูลสำรองที่สะอาด

ฉันรู้สึกอย่างยิ่งว่าไม่จำเป็นต้องมีโปรแกรมป้องกันไวรัสใน Ubuntu

ฉันด้วย! แต่ไวรัสเป็นเพียงส่วนเล็ก ๆ ของมัลแวร์ทั้งหมด คุณยังได้รับรูทคิทและ crapware เหมือนที่คุณอธิบายไว้ข้างต้น

คำแนะนำนั้นล้าสมัยแล้วหรือไม่กับการมาถึงของ KillDisk?

No! คำแนะนำนั้นดีที่สุดที่คุณจะได้รับ ในขณะนี้เราสามารถพิจารณา Ubuntu Software Center ปลอดจากมัลแวร์ บทความนั้นและบทความที่คล้ายกันฉันพบว่าข้อมูลทั้งหมดขาด 1 บิต: มันเข้ารหัสดิสก์ของเราอย่างไร


11
หากไวรัสก็สามารถเข้ารหัสไดเรกทอรีบ้านของผู้ใช้ซึ่งเป็นในท้ายที่สุดสิ่งที่ผู้ใช้จริงๆดูแลเกี่ยวกับ
Jupotter

ตรวจสอบบทความ มันแสดงรายการไดเรกทอรีนอกบ้านอย่างชัดเจน และมันก็ยังแนะนำว่าด้วงจะถูกแทนที่ และอีกครั้ง: ไม่ใช่ไวรัส ไวรัสหมายถึงการแพร่กระจาย มัลแวร์ ใช่.
Rinzwind

1
@Jupotter คุณยังต้องเรียกใช้รหัส แตกต่างจาก Microsoft, Linux ไม่ได้ดำเนินการแนบไฟล์โดยอัตโนมัติและไม่ชอบ
Wildcard

@Wildcard KillDisk ใช้ช่องโหว่ชนิดใดที่รู้จักกันดีในแอปพลิเคชั่นเพื่อเรียกใช้โค้ดหรือว่าต้องการให้ผู้ใช้เรียกใช้งานหรือไม่
รสส์

1
@ Wildcard: ไม่เป็นความจริงเลยสำหรับทั้งสองอย่างนี้ ทั้ง Linux และ Windows ไม่สามารถใช้งานไฟล์แนบอีเมลได้อย่างชัดเจน อย่างไรก็ตามตัวแสดง HTML และตัวถอดรหัสภาพมักจะมีช่องโหว่ในการใช้รหัสโดยอำเภอใจซึ่งผู้โจมตีสามารถเปลี่ยนเป็นการเรียกใช้โค้ดจากระยะไกลด้วยอีเมลได้ ในอดีตบน Windows ปัญหามักจะเลวร้ายยิ่งกว่าบน Linux เนื่องจากตัวแสดง HTML เป็นแบบใช้สายอย่างหนักในระบบปฏิบัติการ นอกจากนี้ผู้ใช้ Windows ยังได้รับการฝึกฝนให้คลิกและเรียกใช้ไฟล์แนบอีเมลและไฟล์ที่ดาวน์โหลดด้วยตนเองทั้งหมด บน Linux มันไม่ง่ายอย่างนั้น
David Foerster

4

เห็นได้ชัดว่า Linux ไม่ได้ปลอดภัยอย่างสมบูรณ์ แต่ไม่จำเป็นต้องมีซอฟต์แวร์ป้องกันไวรัสเนื่องจากมีการดาวน์โหลดแพตช์ความปลอดภัยเป็นประจำ นอกจากนี้เครื่องแรนซัม KillDisk ก็เปิดตัวเร็ว ๆ นี้และเป็นที่รู้จักกันในการกำหนดเป้าหมายเฉพาะองค์กรธุรกิจและ บริษัท ที่ให้บริการเซิร์ฟเวอร์ ผู้ใช้งาน Home Linux ควรจะปลอดภัยแล้ว ที่สำคัญกว่านั้นผู้ใช้ Linux ทุกคนจะต้องรู้ว่าสามารถสร้างสิทธิ์ superuser / root ต่างกันได้มากน้อยเพียงใดหากได้รับอนุญาตจากโปรแกรมที่เป็นอันตราย (ผลลัพธ์อาจไม่พึงปรารถนาอย่างสมบูรณ์หรือทำลายล้าง) แน่นอนว่าการบำรุงรักษาแบ็คอัพตามปกติไม่น่าจะเป็นปัญหาสำหรับผู้ใช้ปกติ


คุณจะรู้ได้อย่างไรว่า KillDisk กำหนดเป้าหมายไปที่องค์กรธุรกิจเท่านั้น ทำไมไม่เป็นบุคคลเช่นกัน?
Flimm

ในอดีต KillDisk ได้กำหนดเป้าหมายไปที่องค์กรธุรกิจและ บริษัท ต่างๆ เหตุใดบุคคลที่เป็นอันตรายจึงกำหนดเป้าหมายผู้ใช้ตามบ้าน ผู้ใช้ Linux ทั่วไปที่บ้านสามารถสร้างการสำรองและคืนค่าได้อย่างง่ายดายและไม่ต้องจ่ายค่าไถ่จำนวนมาก ขณะนี้ บริษัท ขนาดใหญ่ต้องเผชิญกับปัญหามากขึ้นและใช้เวลาและทรัพยากรมากขึ้นในขณะที่สร้างการสำรองข้อมูลและหากมีโอกาสที่พวกเขาจะพึ่งพาข้อมูลที่เช็ดพวกเขาจะต้องเรียกคืนข้อมูลเพื่อหลีกเลี่ยงข้อกล่าวหาทางอาญาโดยลูกค้า ตัวเลือกง่าย ๆ เท่านั้นที่จะจ่ายค่าไถ่
50calrevolver

นอกจากนี้ผู้ใช้ที่บ้านจำนวนมากจะเลือกที่จะเสียใจวันหรือทำแล้วไปกับชีวิตของพวกเขาแทนการจ่ายเงินค่าไถ่มาก KillDisk ถ้าเป็นจริงสิ่งที่เว็บไซต์อ้างว่าเป็น ransomware โจมตีสูงโปรไฟล์มีวัตถุประสงค์เพื่อรีดไถเงินและไม่สนุกอนาธิปไตยสร้างการโจมตี ถ้ามันเกิดขึ้นแพทช์รักษาความปลอดภัยก็จะทำให้ฝนตกทุกครั้ง บริษัท ขนาดใหญ่ไม่สามารถทนต่อการสูญเสียข้อมูลและดังนั้นผู้โจมตีจึงกำหนดเป้าหมายไปยังผู้ใช้ตามบ้าน นอกจากนี้ยังมีโอกาสสูงที่จะติดเชื้อเพิ่มเติมใน บริษัท ขนาดใหญ่เนื่องจากมีเครือข่ายเชื่อมต่อหลายแห่ง
50 calrevolver

4

คำตอบนี้จะสมมติว่ามัลแวร์เป็นโทรจันจริง ๆ แล้วนั่นคือการหมุนรอบผู้ใช้ที่กำลังทำงานอยู่ (อาจเป็นราก) สิ่งที่น่าสงสัย

มีเหตุผลสองสามประการที่ลินุกซ์กล่าวกันว่าเป็นไวรัสมากกว่า Windows ไม่มีสิ่งใดที่ Linux มีความปลอดภัยมากกว่า Windows ในขณะที่มันเป็นความจริงที่ Linux distros มีแนวโน้มที่จะปกป้องไฟล์ระบบปฏิบัติการได้ดีกว่า Windows มาก (แม้ว่าจะเป็นสิ่งที่ต้องขอบคุณ Windows ที่ต้องใช้งานร่วมกับซอฟต์แวร์เก่ากว่าความแตกต่างโดยธรรมชาติ) ในกรณีใด ๆ ก็ตามที่ไม่ปกป้องคุณ จากการโจมตีไฟล์ส่วนบุคคลของคุณหรือเป็นส่วนหนึ่งของบ็อตเน็ตซึ่งเป็นสองสิ่งที่เป็นที่เดือดดาลของไวรัสในทุกวันนี้

ไม่เหตุผลหลักคือ:

  1. ฐานผู้ใช้ขนาดเล็กกว่ามากสำหรับการโจมตีที่เป็นไปได้ ในขณะที่มีการโจมตีจำนวนมากที่กำหนดเป้าหมายเซิร์ฟเวอร์ Linux สิ่งเหล่านี้ไม่เกี่ยวข้องอย่างน่าอัศจรรย์ที่นี่เนื่องจากพวกเขามีแนวโน้มที่จะใช้ประโยชน์จากกล่องที่ถูกทิ้งไว้โดยไม่เจตนาเปิดเผยต่ออินเทอร์เน็ต ลินุกซ์บนเดสก์ท็อปนั้นมีขนาดเล็กมากและเป็นเป้าหมายที่ไม่คุ้มค่า

  2. Linux distros มีความรู้สึกที่แข็งแกร่งมากขึ้นในการติดตั้งซอฟต์แวร์จากแหล่งที่เชื่อถือได้ คุณไม่ต้องกังวลเกี่ยวกับ Sourceforge ที่ฉีดมัลแวร์เข้าไปในตัวติดตั้งของคุณหรือเว็บไซต์ของโครงการเก่าที่ถูกแฮ็กและการดาวน์โหลดถูกแทนที่ด้วยมัลแวร์เพราะนี่ไม่ใช่สถานที่มาตรฐานในการรับซอฟต์แวร์

ดังนั้นหลังมีความสำคัญมาก หากนิสัยของคุณคือการใช้อูบุนตูเหมือนกับที่คุณใช้ Windows - การดาวน์โหลดซอฟต์แวร์แบบส่งเดชจากเว็บสุ่มจากแหล่งต่าง ๆ และพยายามทำให้พวกเขาติดตั้งอย่างดีใน distro ของคุณ - คุณจะมีช่วงเวลาที่เลวร้าย คุณควรพยายามติดตั้งหลาย ๆ อย่างเท่าที่จะเป็นไปได้จากคลังซอฟต์แวร์ของ Ubuntu ซึ่งได้รับการตรวจสอบอย่างระมัดระวังและไม่น่าจะมีมัลแวร์ หากคุณต้องการดาวน์โหลดซอฟต์แวร์จากแหล่งข้อมูลภายนอกคุณควรใช้ความระมัดระวังและเอาใจใส่เป็นอย่างมากสำหรับผู้ใช้ที่ใช้ Windows อย่างระมัดระวัง - ตรวจสอบให้แน่ใจว่าคุณมีวิธีการที่เชื่อถือได้ในแหล่งข้อมูลที่สมเหตุสมผล พบได้บนอินเทอร์เน็ตโดยไม่เข้าใจว่าพวกเขากำลังทำอะไร! ระวังสิ่งใดก็ตามที่จำเป็นต้องรูทเป็นพิเศษsudo) แต่โปรดจำไว้ว่าแม้สิ่งที่ไม่มีรากก็สามารถทำความเสียหายต่อสิ่งที่สำคัญได้


2

ในขณะที่เห็นด้วยกับคนอื่นโดยทั่ว ๆ ไปฉันแค่อยากจะชี้ให้เห็นว่ามีข้อผิดพลาดพื้นฐานที่ลอยอยู่ที่นี่: ข้อสันนิษฐานที่ว่าแอนตี้ไวรัสสามารถปรับปรุงความปลอดภัยได้เท่านั้น (และคำถามก็คือ มันไม่จำเป็น ")

ไม่เพียง แต่การต่อต้านไวรัสอาจไม่จำเป็นต้องใช้ในระบบ GNU / Linux ในปัจจุบัน แต่เป็นไปได้มากที่โปรแกรมต่อต้านไวรัสที่คุณพบ (และโดยเฉพาะอย่างยิ่งโฆษณาที่มีเสียงดัง) จะเป็นอันตรายต่อความปลอดภัย ข้อบกพร่องหากไม่ได้อยู่กลางแจ้งหรือทางอ้อมโดยสนับสนุนให้คุณเลอะเทอะเกี่ยวกับความปลอดภัยมากขึ้นเพราะคุณคิดว่าคุณได้รับการป้องกันจากไวรัส)


นั่นเป็นจุดที่ดีมาก หลักฐานบางอย่างจะได้รับการต้อนรับอย่างสูงและรับ upvote ของฉัน
Flimm

1

ฉันจะบอกว่าใช่คุณต้องมีโปรแกรมป้องกันไวรัสบางประเภท ทุกคนบอกว่า "Linux (/ Ubuntu) บันทึกเป็นไวรัส" ควรอ่าน: http://www.geekzone.co.nz/foobar/6229ตัวอย่างในบทความนี้มีไว้สำหรับ Gnome / KDE แต่นั่นไม่ใช่สิ่งที่ เรื่อง: มันเป็นไปได้มากมันแค่ทำงานต่างบน Ubuntu เล็กน้อย

ใช่มันจะยากกว่ามากสำหรับคุณที่จะได้รับไวรัสในกรณีที่คุณทำการอัพเดททั้งหมดเพียงแค่ดาวน์โหลดจากแหล่งเก็บข้อมูลที่เชื่อถือได้ ฯลฯ แต่คุณจะไม่ได้รับความปลอดภัยจากไวรัสจริงๆ แน่นอนว่าคุณไม่ได้บันทึกอย่างสมบูรณ์ด้วยโปรแกรมป้องกันไวรัส แต่มันช่วยปกป้องคุณในชั้นอื่น ๆ ซึ่งไม่เคยเป็นสิ่งเลวร้ายเลย อาจมีอุปกรณ์ที่ติดเชื้อในเครือข่ายของคุณ? ทุกคนทำผิดพลาดเรียกดูเว็บไซต์ผิดโดยเปิดใช้งาน JavaScript หรืออะไรก็ตาม

และโดยทั่วไป ransomware ไม่จำเป็นต้องมีสิทธิ์พิเศษในการดำเนินการ: @Jupotter ชี้ให้เห็นว่ามันเป็นไปได้มากที่จะเกิดความเสียหายหากมีการอนุญาตจากผู้ใช้เริ่มต้น


1
นี่เป็นความจริงที่ผิด ซอฟต์แวร์ป้องกันไวรัสเป็นระบบรักษาความปลอดภัยแบบกลับด้าน เป็นที่ชัดเจนว่าคุณมาจากโลก Windows หรือที่รู้จักกันในชื่อ "ความปลอดภัยคือโลกหลังความคิด" ดูหน้าที่ฉันเพิ่งเชื่อมโยง
Wildcard

1
คุณมีเหตุผลเฉพาะที่คาดหวังว่าโปรแกรมป้องกันไวรัสจะป้องกันภัยคุกคามเหล่านั้นหรือไม่? "วิธีเขียนไวรัส Linux" ดูเหมือนว่าไวรัสทุกตัวจะแตกต่างกันเล็กน้อยและอาจไม่แพร่หลายมากดังนั้นจึงไม่ถูกตรวจพบโดยโปรแกรมป้องกันไวรัส
jpa

@ Wildcard, jpa บทความที่ฉันเชื่อมโยงในคำตอบของฉันจะจัดการกับการโต้เถียงของบทความของคุณ Linux / Ubuntu มีความเสี่ยงต่อความโง่เขลาของผู้ใช้และ "สิ่งอำนวยความสะดวก" การป้องกันไวรัสไม่เพียง แต่มีการป้องกันข้อผิดพลาดในระบบที่ยังไม่ได้รับการแก้ไข แต่ยังเป็นสิ่งที่ a) สามารถตรวจจับไวรัสที่เป็นที่รู้จัก / รู้จักในปัจจุบัน b) สแกนไฟล์เพื่อหารูปแบบที่เป็นอันตรายและ c) อย่างน้อยก็ต่อต้านความโง่เขลาโดยเตือนผู้ใช้ไฟล์ที่เป็นอันตรายที่พวกเขาดาวน์โหลด
Namnodorel

2
"Linux / Ubuntu มีความเสี่ยงต่อความโง่เขลาของผู้ใช้และ" สิ่งอำนวยความสะดวก " แน่นอน. หากคุณได้รับคำสั่งให้เรียกใช้ซอฟต์แวร์บนเครื่องของคุณและเป็นไวรัสที่ทำให้คุณเมา (และเต็มใจ) ไม่มีใครจะปกป้องคุณจากสิ่งนั้น แต่ ... ไวรัสที่รันอยู่และติดเชื้อมากกว่า 2 เครื่องจากคนอื่นจะไม่เกิดขึ้น เราไม่เรียกใช้ซอฟต์แวร์ที่เป็นอันตรายทั้งหมด และระบบของเราก็ไม่อนุญาตให้เราโดยปราศจากความยินยอม มีความแตกต่างใหญ่: ระบบของเราเป็นผู้ใช้หลายคนตั้งแต่เริ่มต้นดังนั้นจึงมีวิธีการที่แตกต่างกันในการทำให้บริสุทธิ์ Windows ไม่ได้
Rinzwind

1
สรุป: "วิศวกรรมสังคมสามารถทำให้คนงมงายใช้รหัสทำลายได้" นั่นไม่ใช่ไวรัส และใช่ฉันอ่านการติดตามเช่นกัน มีบทความมากมายที่เน้นประเด็นเหล่านี้ทั้งหมด ข้อความที่ตัดตอนมาสั้น ๆ : "... ชุมชน Linux จะไม่เห็นความแตกต่างที่แท้จริงระหว่างสามเณรที่ (เป็น root) ติดเชื้อในระบบของพวกเขาและผู้ที่พิมพ์ตัวแปรบางอย่างใน" rm -rf / "โดยไม่ตั้งใจในขณะที่เข้าสู่ระบบในฐานะ root: ผลของความไม่ชำนาญและขาดความระมัดระวังในทั้งสองกรณีการศึกษาความสนใจและประสบการณ์เป็นวิธีการรักษาที่ได้ผล 100% "
Wildcard

-1

ใช่แอนติไวรัสจะปกป้องคุณจาก KillDisk มัลแวร์และมันจะช่วยคุณในการกำจัดขยะลอยออกจากคอมพิวเตอร์ของคุณ

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.