Kann mich ein Antivirus vor KillDisk, Malware für Linux, schützen?

19

Ein Verwandter von mir hat mir kürzlich eine E-Mail geschickt. Vor kurzem ist er auf diese alarmierende Schlagzeile des Anti-Virus-Herstellers ESET gestoßen:

KillDisk zielt jetzt auf Linux ab: Fordert 250.000 US-Dollar Lösegeld, kann aber nicht entschlüsseln

In der E-Mail wird eine Software beschrieben, die den Inhalt der Festplatte verschlüsselt und ein Lösegeld verlangt.

Mein Verwandter ist alarmiert und meint, dass jetzt mit Sicherheit ein Antivirus benötigt wird.

Ich bin der festen Überzeugung, dass auf Ubuntu kein Antivirus benötigt wird. Ich bin eher der Meinung, dass der beste Schutz für einen Ubuntu-Benutzer darin besteht, Sicherheitsupdates umgehend zu installieren, regelmäßige Backups zu erstellen und nur Software von vertrauenswürdigen Quellen wie dem Ubuntu Software Center zu installieren. Ist dieser Ratschlag mit dem Erscheinen von KillDisk nicht mehr aktuell?

security malware antivirus Flimm
quelle
2
Mach dir keine Sorgen. Sie verlangen nur so viel Geld, weil sie auf Institutionen abzielen, die es sich leisten können. Kommen Sie in ein oder zwei Jahren wieder, wenn die Exploit-Technik so weit verbreitet und mit einem geringen Ertrag pro Infektion von ≤1 BTC ausgestattet ist, wie wir es von anderer Malware erwarten. Wenn Sie Glück haben, wird dies bei Linux-Desktop-Installationen niemals passieren, da es für Kriminelle wirtschaftlicher ist, Windows und Android zu suchen. ; -] Habe nur ein aktuelles Offline-Backup zur Hand, wie du es sowieso solltest.
David Foerster
13
Wenn man sich nur den Code aus diesem Artikel ansieht, fällt eine große Schwäche auf - die Autoren verwenden srand(time)und randgenerieren die Schlüssel! Dies macht sie trivial erratbar (indem man den Zeitpunkt des Virusangriffs abschätzt oder einfach alle ~ 2 ^ 24 Möglichkeiten aus dem letzten Jahr ausprobiert), was bedeutet, dass Sie von dieser speziellen Variante des Virus nicht viel zu befürchten haben sollten.
Nneonneo
@nneonneo Um es klar auszudrücken, die Autoren der Malware haben eine große Schwäche, nicht die Autoren des Artikels.
Flimm
1
Schwäche der Krypto auch hier für weitere Ref erwähnt: bleepingcomputer.com/news/security/…
John U

Antworten:

21

In der E-Mail wird eine Software beschrieben, die den Inhalt der Festplatte verschlüsselt und ein Lösegeld verlangt.

Wie macht es das? (Natürlich erwähnt der Artikel das nicht ...). Über den Link ...

Die Hauptverschlüsselungsroutine durchläuft rekursiv die folgenden Ordner im Stammverzeichnis mit bis zu 17 Unterverzeichnissen:

/boot/bin/sbin/lib/security/lib64/security/usr/local/etc/etc/mnt/share/media/home/usr/tmp/opt/var/root

Den Forschern zufolge werden die "Dateien des Opfers mit Triple-DES verschlüsselt, das auf 4096-Byte-Dateiblöcke angewendet wird", und "jede Datei wird mit einem anderen Satz von 64-Bit-Verschlüsselungsschlüsseln verschlüsselt".

Wir müssen wissen, wie sie glauben, dass sie das Administratorkennwort umgehen können ...

  • Benötigt es ein sudo Passwort?
  • Oder wird versucht, das sudo-Passwort zu erzwingen? Wenn ja, wie gut ist Ihr Passwort?
  • Müssen Sie diese Malware aus der E-Mail herunterladen und ausführen? (...) Wenn ja ... nicht :-P

Die beste Methode, um dem entgegenzuwirken: Erstellen Sie regelmäßige Backups und bewahren Sie mehr als 1 Backup von allem auf, was für Sie wichtig ist. Es ist immer möglich, eine Festplatte zu formatieren, neu zu installieren und ein sauberes Backup wiederherzustellen.

Ich bin der festen Überzeugung, dass auf Ubuntu kein Antivirus benötigt wird.

Ich auch! Ein Virus ist jedoch nur ein kleiner Teil der gesamten Malware. Sie haben auch Rootkits und Crapware wie oben beschrieben.

Ist dieser Ratschlag mit dem Erscheinen von KillDisk nicht mehr aktuell?

Nein! Dieser Rat ist der beste, den Sie bekommen können. Im Moment können wir Ubuntu Software Center als frei von Malware betrachten. In diesem Artikel und ähnlichen Artikeln, die ich gefunden habe, fehlt eine Information: Wie verschlüsselt sie tatsächlich unsere Festplatten?

Rinzwind
quelle
11
Wenn der Virus nur das Home-Verzeichnis des Benutzers verschlüsseln kann, ist dies letztendlich das, was den Benutzer wirklich interessiert .
Jupotter
Überprüfen Sie den Artikel. es listet übersichtlich Verzeichnisse außerhalb des Hauses auf. Und es deutet auch darauf hin, dass Maden ersetzt werden. Und nochmal: kein Virus. Ein Virus impliziert die Ausbreitung. Malware. Ja.
Rinzwind
1
@Jupotter, müssen Sie noch laufen Sie den Code. Im Gegensatz zu Microsoft führt Linux E-Mail-Anhänge und ähnliches nicht automatisch aus.
Wildcard
@Wildcard Nutzt KillDisk bekannte Sicherheitslücken in Anwendungen für die Codeausführung aus oder muss er tatsächlich von einem Benutzer ausgeführt werden?
Tangrs
1
@Wildcard: Nicht ganz richtig für beide. Weder Linux noch Windows führen E-Mail-Anhänge explizit aus. HTML-Renderer und Bilddecoder weisen jedoch in der Regel Schwachstellen in Bezug auf die Ausführung von Code auf, die ein Angreifer mit einer E-Mail in eine Remotecodeausführung umwandeln kann. In der Vergangenheit war das Problem unter Windows eher schlimmer als unter Linux, da der HTML-Renderer fest mit dem Betriebssystem verbunden war. Außerdem sind Windows-Benutzer besser geschult , alle E-Mail-Anhänge und heruntergeladenen Dateien manuell anzuklicken und auszuführen. Unter Linux ist das nicht so einfach.
David Foerster
4

Natürlich ist Linux nicht ganz sicher, aber angesichts der Tatsache, dass regelmäßig Sicherheitspatches heruntergeladen werden, sollte kein Bedarf an Antivirensoftware entstehen. Auch die KillDisk-Ransom-Software ist kürzlich aufgetaucht und zielt bekanntermaßen nur auf Unternehmensorganisationen und Unternehmen ab, die Server hosten. Heimanwender von Linux sollten ab sofort in Sicherheit sein. Noch wichtiger ist, dass alle Linux-Benutzer wissen müssen, welchen Unterschied Superuser- / Root-Rechte machen können, wenn Berechtigungen für unbekannte, bösartige Programme erteilt werden (Ergebnisse können völlig unerwünscht oder sogar verheerend sein). Natürlich sollte die regelmäßige Sicherung für normale Benutzer kein Problem darstellen.

50calrevolver
quelle
Woher wissen Sie, dass KillDisk nur auf Geschäftsorganisationen abzielt? Warum nicht auch Einzelpersonen?
Flimm
In der Vergangenheit war KillDisk auf Geschäftsorganisationen und Unternehmen ausgerichtet. Warum sollte eine böswillige Person einen Heimanwender angreifen? Normale Linux-Heimanwender können problemlos Backups erstellen und wiederherstellen und würden auf keinen Fall so hohe Lösegeldbeträge zahlen. Jetzt stehen große Unternehmen größeren Problemen gegenüber und benötigen mehr Zeit und Ressourcen beim Erstellen von Backups. Wenn sie möglicherweise von den gelöschten Daten abhängig sind, müssten sie die Daten wiederherstellen, um kriminellen Vorwürfen von Kunden vorzubeugen und der tödliche Angriff zu sein, der sie sind Die einzige einfache Möglichkeit wäre, das Lösegeld zu zahlen.
50calrevolver
Viele Heimanwender werden sich auch dafür entscheiden, einen Tag zu jammern oder zu tun und dann mit ihrem Leben fortzufahren, anstatt das riesige Lösegeld zu zahlen. KillDisk ist eher eine hochkarätige Ransomware für Angriffe, die darauf abzielt, Geld zu erpressen, und keine unterhaltsame, Anarchie erzeugende Attacke. Wenn es immer häufiger vorkommt, werden die Sicherheitspatches für alle Distributionen mit Sicherheit herunterregnen. Große Unternehmen können Datenverlusten nicht standhalten und werden daher von Angreifern über Heimanwender hinweggegriffen. Außerdem besteht bei großen Unternehmen aufgrund mehrerer verbundener Netzwerke eine höhere Wahrscheinlichkeit einer weiteren Infektion.
50calrevolver
4

Diese Antwort geht davon aus, dass die Malware tatsächlich ein Trojaner ist, dh, sie dreht sich um den Benutzer, der aktiv (möglicherweise als Root) etwas Verdächtiges ausführt.

Es gibt ein paar Gründe, warum Linux virensicherer ist als Windows. Keiner von ihnen ist der Meinung, dass Linux von Natur aus sicherer ist als Windows. Zwar schützen Linux-Distributionen Betriebssystemdateien in der Regel viel besser als Windows (obwohl dies eher darauf zurückzuführen ist, dass Windows mit älterer Software abwärtskompatibel sein muss, als auf einen inhärenten Unterschied), dies schützt Sie jedoch nicht Angriffe auf Ihre persönlichen Dateien oder die Teilnahme an einem Botnetz sind die beiden Dinge, die heutzutage bei Viren allgegenwärtig sind.

Nein, die Hauptgründe sind:

  1. Viel kleinere Nutzerbasis für mögliche Angriffe. Zwar gab es zahlreiche Angriffe auf Linux- Server , diese sind jedoch hier nicht besonders relevant, da sie dazu neigen, absichtlich dem Internet ausgesetzte Boxen auszunutzen, und daher sind die Methoden der Ausbeutung völlig unterschiedlich. Linux auf dem Desktop ist ein so kleines Ziel, dass es sich normalerweise nicht wirklich lohnt.

  2. Linux-Distributionen haben ein viel stärkeres Gespür für die Installation von Software aus vertrauenswürdigen Quellen. Sie müssen sich keine Sorgen machen, dass Sourceforge Malware in Ihre Installer einschleust oder die Website eines alten Projekts gehackt und die Downloads durch Malware ersetzt wird, da dies nicht der Standardort ist, an dem Sie Software beziehen können.

Letzteres ist also sehr wichtig. Wenn Sie es gewohnt sind, Ubuntu so zu verwenden, als würden Sie Windows verwenden - Sie laden Software willkürlich aus dem Internet herunter, aus zufälligen Quellen, und versuchen, sie so zu installieren, dass sie sich gut in Ihrer Distribution installieren lassen -, werden Sie eine schlechte Zeit haben. Sie sollten versuchen, so viele Dinge wie möglich aus Ubuntus Software-Repositorys zu installieren, die viel sorgfältiger überprüft werden und sehr unwahrscheinlich sind, dass sie Malware enthalten. Wenn Sie Software von externen Quellen herunterladen müssen, sollten Sie so sorgfältig und aufmerksam vorgehen, wie es ein vorsichtiger Windows-Power-User tun würde. Stellen Sie sicher, dass Sie der Quelle auf angemessene Weise vertrauen, und führen Sie die Befehle nicht einfach blind aus im Internet gefunden, ohne zu verstehen, was sie tun! Seien Sie besonders vorsichtig bei allem, was root erfordert (sudo), aber denken Sie daran, dass auch Dinge ohne Wurzel viel Schaden an Dingen anrichten können, die wichtig sind.

Muzer
quelle
2

Grundsätzlich stimme ich allen anderen zu, möchte jedoch darauf hinweisen, dass hier ein grundlegender Fehler schwebt: Die Annahme, dass ein Antivirus nur die Sicherheit verbessern kann (und daher die Frage lautet: "Brauche ich ein Antivirus oder?") ist es unnötig ").

Nicht nur ein Antivirus wird wahrscheinlich in keinem aktuellen GNU / Linux-System benötigt, sondern es ist auch sehr wahrscheinlich, dass jedes Antivirus, das Sie finden (und insbesondere eines, für das laut geworben wird), die Sicherheit beeinträchtigt (entweder direkt, indem es ausgenutzt wird) Fehler, wenn nicht durch Hintertüren, oder indirekt dadurch, dass Sie dazu ermutigt werden, in Bezug auf die Sicherheit schlampiger zu sein, weil Sie glauben, durch Ihr Antivirenprogramm geschützt zu sein).

Stefan
quelle
Das ist ein sehr guter Punkt. Einige Beweise wären sehr willkommen und würden meine Zustimmung verdienen.
Flimm
1

Ich würde sagen, ja, Sie brauchen eine Art Antivirus. Jeder, der sagt, dass "Linux (/ Ubuntu) vor Viren geschützt ist", sollte dies lesen: http://www.geekzone.co.nz/foobar/6229 Die Beispiele in diesem Artikel beziehen sich auf Gnome / KDE, aber das ist nicht das, was Fragen: Es ist sehr gut möglich, dass es auf Ubuntu nur ein bisschen anders funktioniert.

Ja, es wird deutlich mehr schwer für Sie , einen Virus zu erhalten , falls tun Sie alle Updates, nur Download von vertrauenswürdigen Repositories etc. Aber Sie werden nicht wirklich bekommen gesichert gegen Viren. Sicher, mit einem Antivirus sind Sie auch nicht ganz sicher. Aber es schützt dich auch auf einer anderen Ebene, was niemals eine schlechte Sache ist. Möglicherweise befindet sich ein infiziertes Gerät in Ihrem Netzwerk? Außerdem macht jeder Fehler, durchsucht die falsche Website mit aktiviertem JavaScript oder was auch immer.

Und Ransomware benötigt im Allgemeinen nicht einmal spezielle Berechtigungen, um ausgeführt zu werden: Wie @Jupotter hervorhob, ist es bereits eine Menge Schaden möglich, wenn es Standardbenutzerberechtigungen hat.

Namnodorel
quelle
1
Das ist sachlich falsch. Antivirus-Software ist ein invertiertes Sicherheitsmodell. Es ist sehr klar, dass Sie aus der Windows-Welt stammen, die auch als "Sicherheit ist ein nachträglicher Gedanke" bezeichnet wird. Siehe die Seite, die ich gerade verlinkt habe.
Wildcard
1
Haben Sie einen bestimmten Grund zu der Annahme, dass ein Antivirenprogramm vor diesen Bedrohungen schützt? "Wie schreibt man einen Linux-Virus?" Hört sich so an, als ob jeder Virus etwas anders und wahrscheinlich nicht sehr verbreitet ist und daher nicht von Antiviren-Programmen erkannt wird.
jpa
@Wildcard, jpa Der Artikel, den ich in meiner Antwort verlinkt habe, befasst sich genau mit der Argumentation Ihres Artikels. Linux / Ubuntu ist ebenso anfällig für Dummheit und "Convenience Stuff" der Benutzer. Ein Antivirenprogramm schützt nicht nur vor Fehlern in einem System, das noch nicht behoben wurde, es kann auch vorhandene bekannte Viren erkennen, Dateien nach gefährlichen Mustern durchsuchen und Stand Zumindest ein bisschen gegen Dummheit, indem Sie den Benutzer vor schädlichen Dateien warnen, die er heruntergeladen hat.
Namnodorel
2
"Linux / Ubuntu ist genauso anfällig für Benutzerdummheit und" Convenience Stuff "." Na sicher. Wenn Sie aufgefordert werden, Software auf Ihrem Computer auszuführen, und es sich um einen Virus handelt, haben Sie sich (und dies bereitwillig) verarscht. Niemand wird dich davor schützen. ABER ... ein Virus, der wild läuft und 2+ Maschinen von verschiedenen Leuten infiziert, wird NICHT passieren. Wir führen NICHT alle schädliche Software aus. Auch unser System lässt uns nicht ohne unsere Zustimmung. Der große Unterschied besteht darin, dass unser System von Anfang an mehrbenutzerfähig war und daher einen anderen Ansatz für die Sicherheit verfolgt. Windows war nicht.
Rinzwind
1
Zusammengefasst: "Social Engineering kann Unwissende dazu bringen, destruktiven Code auszuführen." Das ist kein Virus. Und ja, ich habe auch das Follow-up gelesen. Es gibt einen ausführlicheren Artikel , der all diese Punkte anspricht . Ein kurzer Auszug: "... die Linux - Community würde keinen wirklichen Unterschied zwischen Anfängern sehen, die (als root) ihre Systeme infizieren, und solchen, die versehentlich eine Variation von" rm - rf / "eingeben, während sie als root angemeldet sind: Beide sind a Ergebnis von Unerfahrenheit und mangelnder Vorsicht. In beiden Fällen sind Aufklärung, Aufmerksamkeit und Erfahrung eine zu 100% wirksame Heilung. "
Wildcard
-1

Ja, ein Antivirus-Programm schützt Sie vor KillDisk, Malware und hilft Ihnen auch dabei, Junk-Fliegen von Ihrem Computer zu entfernen.

Zack Smith
quelle