Wie (in) anfällig wäre Ubuntu für die Verschlüsselung von Ransomware?

Bearbeiten: Dies unterscheidet sich von dem vorgeschlagenen Duplikat. Das vorgeschlagene Duplikat handelt von Viren und Antiviren im Allgemeinen. Diese Frage bezieht sich speziell auf die Verschlüsselungs-Ransomware , wie sie ausgeführt werden kann und ob sie sich auf verschlüsselte Ordner auswirkt.

Heutzutage scheint bösartige Software Windows-Computer zu infizieren, ihre Daten gegen ihren Willen zu verschlüsseln und ein Bitcoin-Lösegeld als Gegenleistung für den Verschlüsselungsschlüssel zu verlangen.

Ich nehme an, es ist unwahrscheinlich, dass jemand Ransomware für Linux codiert, aber sagen wir, jemand hat es getan:

Damit eine solche Software "erfolgreich" auf einem Ubuntu-Computer ausgeführt werden kann, muss der Benutzer sie zuerst ausführen und das sudo-Kennwort eingeben? Ist eine solche Bedrohung unter Ubuntu denkbar, ohne dass der Benutzer dies tut?

Wenn die Benutzerdateien bereits verschlüsselt wären, würde dies davor schützen? Könnte ein Ransomware-Programm, wenn es unabsichtlich von einem Benutzer installiert wird (der auch das sudo-Passwort bestätigt hat), sogar Ihre vorverschlüsselte Daten als Geisel nehmen?

Wie (in) anfällig ist Ubuntu im Allgemeinen für die Verschlüsselung von Ransomware und wie nachlässig / unsicher müssen die Aktionen eines Benutzers sein, damit seine Daten tatsächlich als Geiseln genommen werden?

malware Revetahw sagt Reinstate Monica
quelle

Ubuntu ist für Ransomware nicht unverwundbar, aber genau wie unter Windows muss der Benutzer es installieren.

Mike, was auch immer

Mögliches Duplikat von Muss ich eine Antivirensoftware installiert haben?

dr_

So anfällig wie jedes Dateisystem, das nicht schreibgeschützt ist, spielt das Betriebssystem keine Rolle.

Braiam

Einfach ausgedrückt, alles, was anfällig ist, rm -rf --no-preserve-root /ist auch anfällig für Ransomware.

Ajedi32

@mikewas auch immer es nicht unbedingt so ist. JavaScript Ransomware ist jetzt eine Sache. Zeit, NoScript oder ScriptSafe zu installieren.

22.

Antworten:

Damit eine solche Software "erfolgreich" auf einem Ubuntu-Computer ausgeführt werden kann, muss der Benutzer sie zuerst ausführen und das sudo-Kennwort eingeben?

Nein, ich würde annehmen, dass die Daten Ihre persönlichen Daten sind und "sudo" für Systemdateien benötigt wird.

Wenn die Benutzerdateien bereits verschlüsselt wären, würde dies davor schützen?

Daten sind Daten. Die Verschlüsselung spielt keine Rolle: Die Ransomware sperrt die Daten selbst

Könnte ein Ransomware-Programm, wenn es unabsichtlich von einem Benutzer installiert wird (der auch das sudo-Passwort bestätigt hat), sogar Ihre vorverschlüsselte Daten als Geisel nehmen?

Ja. Sie würden die Daten nicht ANZEIGEN können, aber das war nicht ihre Absicht. Auch ist die Verschlüsselung in keiner Weise wichtig: Sie sperren Ihren "Container".

Wie (in) anfällig ist Ubuntu im Allgemeinen für die Verschlüsselung von Ransomware und wie nachlässig / unsicher müssen die Aktionen eines Benutzers sein, damit seine Daten tatsächlich als Geiseln genommen werden?

Jemand muss zuerst eine Situation schaffen, in der Sie und viele andere bereit sind, ihre Software herunterzuladen und zu installieren. Das ist eine Hürde, die selbst Virensoftware-Autoren nicht nehmen konnten.

Die ganze Idee von Ransomware ist es, so viele Benutzer wie möglich in kürzester Zeit anzusprechen.

Sobald 1 Linux-Benutzer ins Visier genommen wird und seine Daten tatsächlich verdorben sind, bricht die Hölle los und innerhalb von Minuten werden wir alle auf irgendeine Weise informiert. Schauen Sie sich an, was passiert ist, als der OpenSSL-Fehler aufgetreten ist. Innerhalb weniger Minuten hatten alle IT-Websites eine Geschichte zu erzählen. Gleiches gilt für den Kernel-Bug, der vor 2 Tagen aufgetreten ist. Alle sprangen drauf. Wenn es passiert, sehe ich nicht, dass dies mehr als ein paar Benutzern passiert. Bis dahin wurden wir alle informiert oder wenn möglich wird es eine Korrektur für die von ihnen verwendete Methode geben (wie ein Loch im Kernel oder in einem Browser, den sie ausgenutzt haben).

Die meisten von uns verwenden das Ubuntu Software Center. Wie wahrscheinlich ist es, dass diese Malware im Ubuntu Software Center landet? Als nächstes verwenden wir PPAs. Die Informationen für diese PPAs erhalten wir von Websites wie omg.ubuntu.co.uk oder webupd8 oder von vertrauenswürdigen Ubuntu-Kanälen.

Das ist auch der Unterschied zwischen Linux / Ubuntu und Windows: Windows-Benutzer werden aufgefordert, Software von jeder Website herunterzuladen und zu installieren, die sie finden können. Das machen wir meistens nicht. Die Menge an Mist, die Sie für Windows herunterladen können, ist also um ein Vielfaches höher als für jedes andere Betriebssystem. Macht Windows zu einem einfacheren Ziel.

Rinzwind
quelle

Sehr detaillierte Antwort, sehr geschätzt.

Revetahw sagt Reinstate Monica

> Jemand muss zuerst eine Situation schaffen, in der Sie und viele andere bereit sind, ihre Software herunterzuladen und zu installieren. => das ist der häufigste Vektor, ja, aber ein RCE ist eine andere Möglichkeit. Dies kann über Ihren Browser oder einen anderen Netzwerkdienst geschehen (sogar ein Fehler im WLAN-Modul?). Ransomware würde ihnen nur die Mühe ersparen, eine Eskalation der Privilegieneskalation zu finden.

Bob

Ich bin immer wieder erstaunt, wenn ein Windows-Benutzer eine Software installiert, indem er den Namen in Google eingibt und auf den ersten Link klickt, ohne sich über die Gültigkeit der Quelle zu wundern (das wären natürlich nicht alle Windows-Benutzer, aber zumindest einige, die ich habe wissen)

njzk2

@ Bob ja wahr. Siehe den Kernel-Bug vor 3 Tagen. Dies erfordert jedoch gründliche Codierungskenntnisse, sodass die Codeausführenden nicht berücksichtigt werden. Ich würde glauben, dass Social Engineering ein größeres Problem wäre als RCEs.

Rinzwind

Damit eine solche Software "erfolgreich" auf einem Ubuntu-Computer ausgeführt werden kann, muss der Benutzer sie zuerst ausführen und das sudo-Kennwort eingeben?

Führen Sie es aus, ja natürlich. Geben Sie das Sudo-Passwort ein, nein. Das sudo-Passwort wird benötigt, um Systemdateien oder Einstellungen zu ändern. Ransomware verschlüsselt jedoch die persönlichen Dateien des Benutzers, auf die der Benutzer ohne Kennwort vollständig zugreifen kann. Das sudo-Passwort wird jedoch benötigt, um Dateien anderer Benutzer zu verschlüsseln.

Wenn die Benutzerdateien bereits verschlüsselt wären, würde dies davor schützen?

Nein. Die Ransomware verschlüsselt die verschlüsselten Dateien, sodass die Entschlüsselung nicht funktioniert, wenn Sie versuchen, sie mit Ihrem Originalschlüssel zu entschlüsseln. Bildlich sperren Sie Ihre Dateien in einer Box (von der Sie den Schlüssel haben), und die Ransomware sperrt Ihre Box in einer größeren Box, von der Sie den Schlüssel nicht haben.

fkraiem
quelle

Ja, da ein Benutzer immer die volle Kontrolle über seine eigenen Dateien hat. Ohne das sudo-Passwort ist der Schaden jedoch streng auf das Konto dieses Benutzers beschränkt.

Fkraiem

Könnte ich die verschlüsselten Dateien nicht einfach entfernen und aus der Sicherung wiederherstellen?

Jos

Sie können die Dateien natürlich jederzeit aus einem Backup wiederherstellen ...

fkraiem

Sie verschlüsseln sicherlich nicht das gesamte Dateisystem. In diesem Fall würde das System nicht mehr booten und der Benutzer hätte keine Möglichkeit, zu zahlen. Sie verschlüsseln einzelne Dateien, von denen angenommen wird, dass sie für den Benutzer wichtig sind (Dokumente, Bilder usw.). Wenn der Benutzer über ein Backup verfügt, kann er die Dateien daraus wiederherstellen, viele Benutzer jedoch nicht.

Fkraiem

@TripeHound Es kommt darauf an. In vielen Fällen erfolgt die Sudo-Autorisierung pro Pty / Tty / Terminal. Darüber hinaus ist es immer eine gute Maßnahme, vor dem Wiederherstellen von Sicherungen zu löschen und neu zu installieren, um sicherzustellen, dass sich keine ausführbaren Ransomware-Dateien an zufälligen Standorten pro Benutzer verstecken.

Nanofarad