Um antivírus pode me proteger do KillDisk, malware para Linux?

19

Um parente meu recentemente me enviou um e-mail. Recentemente, ele se deparou com essa linha alarmante do fornecedor de antivírus ESET:

KillDisk agora direcionado para Linux: exige resgate de US $ 250 mil, mas não pode descriptografar

O e-mail continua descrevendo um software que criptografa o conteúdo do disco e exige resgate.

Meu parente está alarmado e sente que certamente um antivírus agora é necessário.

Sinto fortemente que não é necessário um antivírus no Ubuntu. Em vez disso, sinto que a melhor proteção para um usuário do Ubuntu é instalar as atualizações de segurança imediatamente, manter backups regulares e instalar apenas software de fontes confiáveis, como o Ubuntu Software Center. Esse conselho está desatualizado com o advento do KillDisk?

security malware antivirus Flimm
fonte
2
Não se preocupe. Eles só estão pedindo tanto dinheiro porque estão mirando em instituições que podem pagar. Volte em um ano ou dois quando a técnica de exploração tiver sido comercializada o suficiente para ampla disseminação e baixo rendimento por infecção de ≤1 BTC, como vemos em outros malwares. Se você tiver sorte, isso nunca acontecerá nas instalações de desktop Linux, porque é mais econômico para os criminosos perseguir o Windows e o Android. ; -] Basta ter um backup offline recente à mão, como você deveria.
David Foerster
13
Só de olhar para o código desse artigo, destaca-se uma enorme fraqueza - os autores estão usando srand(time)e randgerando as chaves! Isso os torna trivialmente palpáveis ​​(estimando o tempo de ataque do vírus ou apenas tentando todas as ~ 2 ^ 24 possibilidades do ano passado), o que significa que você não deve ter muito o que temer com essa variante específica do vírus.
nneonneo
@nneonneo Para ser claro, os autores do malware têm uma enorme fraqueza, não os autores do artigo.
Flimm
1
Fraqueza da criptografia também mencionada aqui para mais ref: bleepingcomputer.com/news/security/…
John U

Respostas:

21

O e-mail continua descrevendo um software que criptografa o conteúdo do disco e exige resgate.

Como isso acontece? (é claro que o artigo não menciona isso ...). A partir do link ...

A rotina principal de criptografia percorre recursivamente as seguintes pastas no diretório raiz até 17 subdiretórios em profundidade:

/ boot / bin / sbin / lib / security / lib64 / security / usr / local / etc / etc / mnt / share / media / home / usr / tmp / opt / var / root

Segundo os pesquisadores, os "arquivos da vítima são criptografados usando o Triple-DES aplicado a blocos de arquivos de 4096 bytes" e "cada arquivo é criptografado usando um conjunto diferente de chaves de criptografia de 64 bits".

Precisamos saber como eles acreditam que podem burlar a senha do administrador ...

  • Requer uma senha sudo?
  • Ou tenta forçar com força a senha do sudo? Se sim, qual é a sua senha?
  • Requer que você baixe esse malware do correio e execute-o? (...) Se sim ... não :-P

Melhor método para combater isso: crie backups regulares e mantenha mais de um backup de qualquer coisa importante para você. Sempre é possível formatar um disco, reinstalar e restaurar um backup limpo.

Sinto fortemente que não é necessário um antivírus no Ubuntu.

Eu também! Mas um vírus é apenas uma pequena parte de todo malware. Você também tem rootkits e crapware como o descrito acima.

Esse conselho está desatualizado com o advento do KillDisk?

Não! Esse conselho é o melhor que você pode obter. No momento, podemos considerar o Ubuntu Software Center livre de malware. Aquele artigo e artigos similares que encontrei não possuem um bit de informação: como ele realmente criptografa nossos discos.

Rinzwind
fonte
11
Se o vírus puder apenas criptografar o diretório pessoal do usuário, que é, no final, o que realmente interessa ao usuário .
Jupotter
Veja o artigo. lista claramente os diretórios fora de casa. E também sugere que o grub está sendo substituído. E novamente: não um vírus. Um vírus implica espalhar. Malware. Sim.
Rinzwind
1
@Jupotter, você ainda precisa executar o código. Ao contrário da Microsoft, o Linux não executa automaticamente anexos de email e similares.
Curinga
@Wildcard O KillDisk explora qualquer tipo de vulnerabilidades conhecidas nos aplicativos para execução de código ou realmente exige que um usuário o execute?
tangrs
1
@Wildcard: Não é inteiramente verdade para qualquer um dos dois. Nem o Linux nem o Windows executam explicitamente anexos de email. No entanto, os renderizadores HTML e os decodificadores de imagem tendem a ter vulnerabilidades arbitrárias de execução de código que um invasor pode transformar em execução remota de código por email. No passado, no Windows, o problema tendia a ser pior do que no Linux, porque o renderizador HTML era conectado ao sistema operacional. Além disso, os usuários do Windows são mais treinados para clicar e executar manualmente todos os anexos de email e arquivos baixados. No Linux, não é tão simples.
David Foerster
4

Como óbvio, o Linux não é totalmente seguro, mas a necessidade de software antivírus não deve surgir, uma vez que os patches de segurança são baixados regularmente. Além disso, o KillDisk ransom ware surgiu recentemente e é conhecido por atingir apenas organizações comerciais e empresas que hospedam servidores. Usuários domésticos de Linux devem estar seguros a partir de agora. Mais importante, todos os usuários do Linux devem saber quanta diferença os privilégios de superusuário / root podem fazer, se forem concedidas permissões a programas maliciosos desconhecidos (os resultados podem ser completamente indesejados ou até devastadores). Obviamente, manter backups regulares não deve ser um problema para usuários regulares.

50calrevolver
fonte
Como você sabe que o KillDisk visa apenas organizações empresariais? Por que não indivíduos também?
Flimm
No passado, o KillDisk tinha como alvo organizações e empresas de negócios. Por que uma pessoa mal-intencionada tem como alvo um usuário doméstico? Usuários regulares de Linux em casa podem facilmente criar backups e restaurá-los e de maneira alguma pagariam resgates tão grandes. Agora, as grandes empresas enfrentam problemas maiores e gastam mais tempo e recursos ao criar backups e, se por acaso dependem dos dados apagados, teriam que restaurá-los para evitar alegações criminais dos clientes e, sendo esse o ataque mortal. única opção fácil seria pagar o resgate.
precisa saber é o seguinte
Além disso, muitos usuários domésticos escolhem lamentar por um dia ou fazer e depois seguir em frente com suas vidas, em vez de pagar o enorme resgate. O KillDisk, se é realmente o que os sites afirmam ser, é mais um ransomware de ataque de alto perfil destinado a extorquir dinheiro e não um divertido, criando um ataque de anarquia. Se as ocorrências aumentarem, os patches de segurança certamente cairão em todas as distros. As grandes empresas não podem suportar a perda de dados e, portanto, os atacantes os direcionam para usuários domésticos. Além disso, há uma chance maior de infecção adicional em grandes empresas devido a várias redes conectadas.
precisa saber é o seguinte
4

Esta resposta assume que o malware é realmente um cavalo de Troia, ou seja, gira em torno do usuário executando ativamente (talvez como root) algo suspeito.

Existem algumas razões pelas quais o Linux é mais à prova de vírus que o Windows. Nenhum deles é que o Linux é inerentemente mais seguro que o Windows. Embora seja verdade que as distribuições Linux tendem a proteger os arquivos do sistema operacional muito melhor do que o Windows (embora isso seja mais devido ao fato de o Windows precisar ser compatível com versões anteriores de software mais antigo do que qualquer diferença inerente), em qualquer caso que não o proteja de ataques a seus arquivos pessoais ou de fazer parte de uma botnet, que são as duas coisas que estão mais presentes nos vírus atualmente.

Não, os principais motivos são:

  1. Base de usuários muito menor para possíveis ataques. Embora tenha havido muitos ataques direcionados aos servidores Linux , eles não são surpreendentemente relevantes aqui, pois tendem a explorar caixas que são deliberadamente deixadas expostas à Internet e, portanto, os meios de exploração são totalmente diferentes. O Linux no desktop é um alvo tão pequeno que geralmente não vale a pena.

  2. As distros do Linux têm um senso muito mais forte de instalar software de fontes confiáveis. Você não precisa se preocupar com a injeção de malware pelo Sourceforge em seus instaladores, ou com o site de um projeto antigo invadido e os downloads substituídos por malware, porque esse não é o local padrão para obter software.

Então, o último é muito importante. Se o seu hábito é usar o Ubuntu como você usaria o Windows - baixando aleatoriamente software da Web, de fontes aleatórias e tentando fazer com que eles sejam bem instalados na sua distribuição - você vai se divertir muito. Você deve tentar instalar o máximo de coisas possível a partir dos repositórios de software do Ubuntu, que são examinados com muito mais cuidado e com pouca probabilidade de conter malware. Se você precisar fazer o download de software de fontes externas, use o máximo de cuidado e atenção que um usuário cuidadoso do usuário avançado do Windows usaria - verifique se você tem uma maneira razoável de confiar na fonte e não execute cegamente os comandos que você encontrados na internet sem entender o que estão fazendo! Seja especialmente cuidadoso com qualquer coisa que exija raiz (sudo), mas lembre-se de que mesmo coisas sem raiz podem causar muitos danos a coisas importantes.

Muzer
fonte
2

Ao concordar com todos os outros, basicamente, quero apenas salientar que existe um erro fundamental flutuando aqui: a suposição de que um antivírus só pode melhorar a segurança (e, portanto, a pergunta é apenas "preciso de um antivírus ou é desnecessário ").

Provavelmente, não apenas um antivírus provavelmente não é necessário em qualquer sistema GNU / Linux atual, mas é muito provável que qualquer antivírus que você possa encontrar (e especialmente um que seja anunciado em voz alta) seja prejudicial à segurança (seja diretamente por ter explorável falhas, se não backdoors, ou indiretamente, incentivando você a ter mais segurança na segurança porque acha que está protegido pelo seu antivírus).

Stefan
fonte
Esse é um ponto muito bom. Alguma evidência seria muito bem-vinda e valeria meu voto.
Flimm
1

Eu diria que sim, você precisa de algum tipo de antivírus. Todo mundo dizendo que "Linux (/ Ubuntu) é salvo em vírus" deve ler isto: http://www.geekzone.co.nz/foobar/6229 Os exemplos neste artigo são para o Gnome / KDE, mas não é isso que importa: é muito possível, funcionaria um pouco diferente no Ubuntu.

Sim, será significativamente mais difícil você receber um vírus, caso faça todas as atualizações, faça o download de repositórios confiáveis, etc. Mas você não ficará realmente protegido contra vírus. Claro, você também não é totalmente salvo com um antivírus. Mas ele protege você ainda em outra camada, o que nunca é uma coisa ruim. Talvez haja um dispositivo infectado na sua rede? Além disso, todo mundo comete erros, navega no site errado com o JavaScript ativado ou o que for.

E o ransomware em geral nem precisa de permissões especiais para ser executado: como o @Jupotter apontou, já há muitas possibilidades de danos se tiver permissões de usuário padrão.

Namnodorel
fonte
1
Isso está realmente errado. O software antivírus é um modelo de segurança invertido. É muito claro que você é do mundo Windows, também conhecido como o mundo "a segurança é uma reflexão tardia". Veja a página que acabei de vincular.
Curinga
1
Você tem um motivo específico para esperar que um programa antivírus se proteja contra essas ameaças? "Como escrever um vírus Linux" parece que todos os vírus serão ligeiramente diferentes e provavelmente não muito difundidos, portanto não detectados pelo antivírus.
jpa
@Wildcard, jpa O artigo que eu vinculei na minha resposta aborda exatamente a argumentação do seu artigo. O Linux / Ubuntu é igualmente vulnerável à estupidez do usuário e a "conveniência". Um antivírus não existe apenas para proteger contra bugs em um sistema que ainda não foi corrigido, também é algo que: a) Pode detectar vírus populares / conhecidos existentes; b) verifica os arquivos em busca de padrões perigosos; pelo menos um pouco contra a estupidez, avisando o usuário sobre arquivos maliciosos que eles baixam.
Namnodorel
2
"O Linux / Ubuntu é igualmente vulnerável à estupidez do usuário e a" conveniência "." Claro. Se você for instruído a executar o software em sua máquina e for um vírus, você se ferrou (e de bom grado). Ninguém irá protegê-lo disso. MAS ... um vírus rodando selvagem e infectando mais de 2 máquinas de pessoas diferentes NÃO acontecerá. Nem todos executamos software malicioso. Nosso sistema também não nos deixa sem o nosso consentimento. Há uma grande diferença: nosso sistema era multiusuário desde o início, portanto, tem uma abordagem diferente para a segurança. Windows não era.
Rinzwind
1
Resumido: "A engenharia social pode levar pessoas ignorantes a executar código destrutivo". Isso não é um vírus. E sim, eu também li o acompanhamento. Há um artigo mais extenso que aborda todos esses pontos. Um pequeno trecho: "... a comunidade Linux não veria nenhuma distinção real entre iniciantes que (como root) infectam seus sistemas e aqueles que acidentalmente digitam alguma variação em" rm -rf / "enquanto estão logados como root: ambos são um resultado de inexperiência e falta de cautela. Nos dois casos, educação, atenção e experiência são uma cura 100% eficaz ".
Curinga
-1

Sim, um antivírus irá protegê-lo do KillDisk, malware e também ajudará a remover moscas indesejadas do seu computador.

Zack Smith
fonte