Quão (in) vulnerável o Ubuntu seria para o ransomware de criptografia?

9

Editar: é diferente da duplicata sugerida. A duplicata sugerida é sobre vírus e antivírus em geral. Esta pergunta é especificamente sobre o ransomware de criptografia , como ele pode ser executado e se afetará as pastas criptografadas.

Atualmente, o software malicioso parece estar infectando os computadores Windows, criptografando seus dados contra a vontade deles e solicitando um resgate em Bitcoin em troca da chave de criptografia.

Suponho que seja improvável que alguém codifique ransomware para Linux, mas digamos que alguém tenha:

Para que um software desse tipo seja executado "com êxito" em uma máquina Ubuntu, o usuário precisará primeiro executá-lo e fornecer a senha do sudo? Essa ameaça é concebível no Ubuntu sem que o usuário faça isso?

Se os arquivos dos usuários já estivessem criptografados, isso protegeria contra isso? Um programa de ransomware, se instalado involuntariamente por um usuário (que também confirmou com a senha do sudo), pode levar até o seu refém de dados pré-criptografado?

Em geral, quão (in) vulnerável é o Ubuntu para criptografar ransomware, e quão descuidada / insegura devem ser as ações de um usuário para que seus dados sejam feitos reféns?

Revetahw diz Restabelecer Monica
fonte
2
O Ubuntu não é invulnerável ao ransomware, mas, assim como no Windows, o usuário precisará instalá-lo.
Mikewhatever
Tão vulnerável quanto qualquer sistema de arquivos não protegido contra gravação, os SOs não importam.
Braiam 22/01
11
Simplificando, qualquer coisa vulnerável rm -rf --no-preserve-root /também é vulnerável ao ransomware.
precisa saber é o seguinte
@mikewhatever Não é necessariamente assim. JavaScript Ransomware agora é uma coisa. Hora de instalar o NoScript ou ScriptSafe.
TJD

Respostas:

10

Para que um software desse tipo seja executado "com êxito" em uma máquina Ubuntu, o usuário precisará primeiro executá-lo e fornecer a senha do sudo?

Não, eu assumiria que os dados são seus dados pessoais e "sudo" é necessário para os arquivos do sistema.

Se os arquivos dos usuários já estivessem criptografados, isso protegeria contra isso?

Não. Dados são dados. A criptografia não faz parte: o ransomware bloqueia os dados em si

Um programa de ransomware, se instalado involuntariamente por um usuário (que também confirmou com a senha do sudo), pode levar até o seu refém de dados pré-criptografado?

Sim. Eles não seriam capazes de visualizar os dados, mas essa não era sua intenção. A criptografia também não é de forma alguma importante: elas bloqueiam seu "contêiner".

Em geral, quão (in) vulnerável é o Ubuntu para criptografar ransomware, e quão descuidada / insegura devem ser as ações de um usuário para que seus dados sejam feitos reféns?

Alguém primeiro precisa criar uma situação em que você e muitos outros estejam dispostos a baixar e instalar seus softwares. Esse é um obstáculo que nem os criadores de software antivírus conseguiram enfrentar.

Toda a idéia do ransomware é atingir o maior número possível de usuários no menor espaço de tempo possível.

Assim que 1 usuário do Linux for direcionado e eles realmente contaminarem seus dados, todo o inferno seria liberado e, em minutos, todos nós seremos informados de alguma forma. Veja o que aconteceu quando o bug do OpenSSL apareceu. Em questão de minutos, todos os sites de TI tinham uma história para contar. Mesmo com o bug do kernel que apareceu 2 dias atrás. Todo mundo pulou nela. Se isso acontecer, não vejo isso acontecendo com mais do que alguns usuários. Até então, todos nós fomos informados ou, se possível, haverá uma correção para o método que eles usaram (como um buraco no kernel ou em um navegador que eles exploraram).

A maioria de nós usa o Ubuntu Software Center. Qual a probabilidade de esse malware acabar no Ubuntu Software Center? Em seguida, usamos PPAs. As informações para os PPAs que obtemos de sites como omg.ubuntu.co.uk ou webupd8 ou de canais confiáveis ​​do Ubuntu.

Essa também é a diferença entre Linux / Ubuntu e Windows: os usuários do Windows devem baixar e instalar o software de qualquer site que o encontrarem. Nós geralmente não fazemos isso. Portanto, a quantidade de lixo que você pode baixar para o Windows é várias vezes maior do que em qualquer outro sistema operacional. Torna o Windows um alvo mais fácil.

Rinzwind
fonte
Resposta muito detalhada, muito apreciada.
Revetahw diz Restabelecer Monica
2
> Alguém primeiro precisa criar uma situação em que você e muitos outros estejam dispostos a baixar e instalar o software. => esse é o vetor mais comum, sim, mas um RCE é outra possibilidade. Isso pode ser através do seu navegador ou de qualquer outro serviço de rede (até mesmo um bug no módulo wifi?). O ransomware apenas pouparia o trabalho de encontrar um vuln de escalação de privilégios.
Bob
Sempre fico impressionado quando vejo um usuário do Windows instalar um software digitando o nome no google e clicando no primeiro link sem me perguntar sobre a validade da fonte (que não seria todos os usuários do Windows, obviamente, mas pelo menos vários que eu saber)
njzk2
@ Bob sim verdade. Veja o bug do kernel há 3 dias. Mas isso requer habilidades de codificação completas, de modo a deixar de fora os executores de código. Eu acreditaria que a engenharia social seria um problema maior do que os RCEs.
Rinzwind
9

Para que um software desse tipo seja executado "com êxito" em uma máquina Ubuntu, o usuário precisará primeiro executá-lo e fornecer a senha do sudo?

Execute-o, sim, é claro. Dê a senha do sudo, não. A senha do sudo é necessária para modificar os arquivos ou configurações do sistema. No entanto, o ransomware criptografa os arquivos pessoais do usuário, que são totalmente acessíveis pelo usuário sem uma senha. A senha do sudo seria necessária para criptografar arquivos de outros usuários, no entanto.

Se os arquivos dos usuários já estivessem criptografados, isso protegeria contra isso?

Não. O ransomware criptografaria os arquivos criptografados, de modo que quando você tentar descriptografá-los com sua chave original, a descriptografia não funcionará. Na figura, você bloqueia seus arquivos dentro de uma caixa (da qual você possui a chave) e o ransomware bloqueia sua caixa dentro de uma caixa maior, da qual você não possui a chave.

fkraiem
fonte
2
Sim, porque um usuário sempre tem controle total sobre seus próprios arquivos. Sem a senha do sudo, no entanto, os danos serão estritamente limitados à conta desse usuário.
precisa saber é
11
Não foi possível remover os arquivos criptografados e restaurá-los do backup?
Jos
7
Você sempre pode restaurar os arquivos de um backup, obviamente ...
fkraiem
4
Eles certamente não criptografam o sistema de arquivos inteiro; nesse caso, o sistema não inicializa mais e o usuário não tem como pagar. Eles criptografam arquivos individuais que são considerados importantes para o usuário (documentos, fotos, etc.). Se o usuário tiver um backup, ele poderá restaurar os arquivos, mas muitas pessoas não.
precisa saber é
11
@TripeHound Depende. Em muitos casos, a sudo-autorização é por pty / tty / terminal. Além disso, sempre seria uma boa medida limpar e reinstalar antes de restaurar backups para garantir que não haja executáveis ​​de ransomware ocultos em locais aleatórios por usuário.
Nanofarad