Bisakah anti-virus melindungi saya dari KillDisk, malware untuk Linux?

19

Seorang kerabat saya baru-baru ini mengirim saya email. Dia baru-baru ini menemukan headline yang mengkhawatirkan dari vendor anti-virus ESET:

KillDisk sekarang menargetkan Linux: Menuntut tebusan $ 250K, tetapi tidak bisa mendekripsi

Email tersebut berlanjut untuk menggambarkan bagian dari perangkat lunak yang mengenkripsi isi disk dan meminta tebusan.

Kerabat saya khawatir dan merasa bahwa sekarang sudah pasti diperlukan antivirus.

Saya merasa sangat bahwa anti-virus tidak diperlukan di Ubuntu. Sebaliknya, saya merasa bahwa perlindungan terbaik untuk pengguna Ubuntu adalah dengan menginstal pembaruan keamanan segera, untuk menjaga cadangan reguler dan hanya menginstal perangkat lunak dari sumber tepercaya seperti Ubuntu Software Center. Apakah saran itu sekarang ketinggalan zaman dengan munculnya KillDisk?

security malware antivirus Flimm
sumber
2
Jangan khawatir. Mereka hanya meminta uang sebanyak itu karena mereka menargetkan institusi yang mampu membelinya. Kembalilah dalam satu atau dua tahun ketika teknik exploit telah dikomodifikasi cukup untuk penyebaran luas dan hasil per infeksi rendah ≤1 BTC seperti yang kita lihat dari malware lain. Jika Anda beruntung ini tidak akan terjadi pada instalasi desktop Linux karena itu lebih ekonomis bagi penjahat untuk mengejar Windows dan Android. ; -] Hanya memiliki cadangan offline terbaru berguna seperti yang seharusnya Anda lakukan.
David Foerster
13
Hanya dengan melihat kode dari artikel itu, ada kelemahan besar - penulis menggunakan srand(time)dan randmenghasilkan kunci! Ini membuat mereka mudah ditebak secara sepele (dengan memperkirakan waktu serangan virus, atau hanya mencoba semua kemungkinan ~ 2 ^ 24 dari tahun lalu), yang berarti bahwa Anda tidak perlu takut pada varian virus yang khusus ini.
nneonneo
@nneonneo Untuk lebih jelasnya, pembuat malware memiliki kelemahan besar, bukan penulis artikel.
Flimm
1
Kelemahan crypto juga disebutkan di sini untuk ref lebih lanjut: bleepingcomputer.com/news/security/…
John U

Jawaban:

21

Email tersebut berlanjut untuk menggambarkan bagian dari perangkat lunak yang mengenkripsi isi disk dan meminta tebusan.

Bagaimana cara melakukannya? (tentu saja artikelnya tidak menyebutkan itu ...). Dari tautan ...

Rutin enkripsi utama secara rekursif melintasi folder berikut dalam direktori root hingga 17 subdirektori secara mendalam:

/ boot / bin / sbin / lib / keamanan / lib64 / keamanan / usr / local / etc / etc / mnt / share / media / home / usr / tmp / opt / var / root

Menurut peneliti, "file korban dienkripsi menggunakan Triple-DES yang diterapkan pada blok file 4096-byte," dan "setiap file dienkripsi menggunakan serangkaian kunci enkripsi 64-bit yang berbeda."

Kita perlu tahu bagaimana mereka percaya mereka dapat menghindari kata sandi admin ...

  • Apakah itu memerlukan kata sandi sudo?
  • Atau apakah ia berusaha untuk memaksa kata sandi sudo? Jika demikian, seberapa bagus kata sandi Anda?
  • Apakah Anda harus mengunduh malware ini dari surel dan menjalankannya? (...) Jika demikian ... jangan :-P

Metode terbaik untuk mengatasi ini: buat cadangan rutin dan simpan lebih dari 1 cadangan apa pun yang penting bagi Anda. Selalu dimungkinkan untuk memformat disk dan menginstal ulang dan mengembalikan cadangan bersih.

Saya merasa sangat bahwa anti-virus tidak diperlukan di Ubuntu.

Saya juga! Tetapi virus hanyalah sebagian kecil dari semua malware. Anda juga mendapatkan rootkit, dan crapware seperti yang Anda jelaskan di atas.

Apakah saran itu sekarang ketinggalan zaman dengan munculnya KillDisk?

Tidak! Nasihat itu adalah yang terbaik yang bisa Anda dapatkan. Saat ini kami dapat mempertimbangkan Ubuntu Software Center bebas dari malware. Artikel itu dan artikel serupa yang saya temukan semuanya kekurangan 1 bit informasi: bagaimana cara mengenkripsi disk kita.

Rinzwind
sumber
11
Jika virus hanya bisa mengenkripsi direktori home pengguna, yang pada akhirnya, apa yang benar-benar dipedulikan pengguna .
Jupotter
Periksa artikelnya. itu jelas daftar direktori di luar rumah. Dan itu juga menyarankan grub diganti. Dan lagi: bukan virus. Virus menyiratkan penyebaran. Malware. Iya nih.
Rinzwind
1
@Jupotter, Anda masih harus menjalankan kode. Tidak seperti Microsoft, Linux tidak secara otomatis menjalankan lampiran email dan sejenisnya.
Wildcard
@ Kartu Memori Apakah KillDisk mengeksploitasi segala jenis kelemahan yang diketahui dalam aplikasi untuk eksekusi kode atau apakah itu benar-benar mengharuskan pengguna untuk menjalankannya?
tangrs
1
@ Kartu Memori: Tidak sepenuhnya benar untuk keduanya. Baik Linux maupun Windows tidak secara eksplisit mengeksekusi lampiran email. Namun, renderer HTML dan decoder gambar cenderung memiliki kerentanan eksekusi kode arbitrer yang penyerang bisa berubah menjadi eksekusi kode jauh dengan email. Di masa lalu pada Windows masalahnya hanya cenderung lebih buruk daripada di Linux karena renderer HTML telah terprogram ke dalam OS. Selain itu, pengguna Windows lebih terlatih untuk mengklik dan menjalankan semua lampiran email dan file yang diunduh secara manual . Di Linux tidak sesederhana itu.
David Foerster
4

Seperti yang sudah jelas, Linux tidak sepenuhnya aman, tetapi kebutuhan untuk perangkat lunak anti-virus tidak boleh muncul mengingat bahwa patch keamanan diunduh secara teratur. Juga peralatan tebusan KillDisk telah muncul baru-baru ini dan diketahui hanya menargetkan organisasi bisnis dan perusahaan hosting server. Pengguna Linux rumahan harus aman seperti sekarang. Lebih penting lagi, semua pengguna Linux harus mengetahui seberapa besar perbedaan yang dapat dibuat oleh pengguna super / root, jika izin diberikan kepada program jahat yang tidak dikenal (hasilnya dapat benar-benar tidak diinginkan atau bahkan menghancurkan). Tentu saja, mempertahankan back-up reguler seharusnya tidak menjadi masalah bagi pengguna biasa.

50volverver
sumber
Bagaimana Anda tahu bahwa KillDisk hanya menargetkan organisasi bisnis? Kenapa tidak individu juga?
Flimm
Di masa lalu, KillDisk menargetkan organisasi bisnis dan perusahaan. Mengapa orang jahat menargetkan pengguna rumahan? Pengguna Linux rumahan biasa dapat dengan mudah membuat cadangan dan mengembalikannya dan tidak akan membayar tebusan sebesar itu. Sekarang perusahaan besar menghadapi masalah yang lebih besar dan mengambil lebih banyak waktu dan sumber daya sambil membuat cadangan dan jika kebetulan mereka bergantung pada data yang dihapus, mereka harus mengembalikan data untuk menghindari tuduhan kriminal oleh pelanggan dan menjadi serangan mematikan itu, satu-satunya pilihan mudah adalah membayar tebusan.
50calrevolver
Juga, banyak pengguna rumahan akan memilih untuk meratapi sehari atau melakukan dan kemudian melanjutkan hidup mereka alih-alih membayar tebusan besar. KillDisk, jika itu sebenarnya situs yang mengklaimnya, lebih merupakan ransomware serangan profil tinggi yang ditujukan untuk memeras uang dan bukan serangan anarki yang menyenangkan. Jika itu terjadi, patch keamanan pasti akan turun hujan untuk semua distro. Perusahaan besar tidak dapat menahan kehilangan data dan karenanya penyerang menargetkan mereka di atas pengguna rumahan. Juga, ada kemungkinan lebih tinggi untuk infeksi lebih lanjut di perusahaan besar karena beberapa jaringan yang terhubung.
50calrevolver
4

Jawaban ini akan menganggap bahwa malware tersebut sebenarnya adalah trojan, yaitu berkisar di sekitar pengguna yang aktif menjalankan (mungkin sebagai root) sesuatu yang mencurigakan.

Ada beberapa alasan mengapa Linux dikatakan lebih tahan virus daripada Windows. Tidak satu pun dari mereka adalah bahwa Linux secara inheren lebih aman daripada Windows. Meskipun memang benar bahwa distro Linux cenderung melindungi file sistem operasi jauh lebih baik daripada Windows (meskipun ini lebih berkat Windows yang harus kompatibel dengan perangkat lunak yang lebih lama daripada perbedaan yang melekat), dalam hal apa pun yang tidak melindungi Anda dari serangan terhadap file pribadi Anda, atau menjadi bagian dari botnet, yang merupakan dua hal yang semuanya mengamuk di zaman sekarang.

Tidak, alasan utamanya adalah:

  1. Basis pengguna yang jauh lebih kecil untuk kemungkinan serangan. Walaupun ada banyak serangan yang menargetkan server Linux , itu tidak relevan luar biasa di sini, karena mereka cenderung mengeksploitasi kotak yang sengaja dibiarkan terbuka ke internet, sehingga cara eksploitasi sama sekali berbeda. Linux pada desktop adalah target yang sangat kecil sehingga biasanya tidak terlalu sepadan.

  2. Distro Linux memiliki rasa yang lebih kuat untuk menginstal perangkat lunak dari sumber tepercaya. Anda tidak perlu khawatir tentang Sourceforge menyuntikkan malware ke installer Anda, atau situs web proyek lama telah diretas dan unduhan diganti dengan malware, karena ini bukan tempat standar untuk mendapatkan perangkat lunak.

Jadi, yang terakhir ini sangat penting. Jika kebiasaan Anda menggunakan Ubuntu seperti Anda akan menggunakan Windows - mengunduh perangkat lunak secara sembarangan dari web, dari sumber acak, dan mencoba membuatnya dipasang dengan baik di distro Anda - Anda akan mengalami waktu yang buruk. Anda harus mencoba menginstal sebanyak mungkin dari repositori perangkat lunak Ubuntu, yang jauh lebih hati-hati diperiksa dan sangat tidak mungkin mengandung malware. Jika Anda perlu mengunduh perangkat lunak dari sumber eksternal, Anda harus menggunakan sebanyak mungkin perhatian dan perhatian seperti halnya pengguna pengguna Windows yang berhati-hati - pastikan Anda memiliki cara yang masuk akal untuk mempercayai sumbernya, dan jangan hanya menjalankan perintah secara membabi buta. ditemukan di internet tanpa memahami apa yang mereka lakukan! Berhati-hatilah terhadap apa pun yang membutuhkan root (sudo), tetapi perlu diingat bahwa bahkan hal-hal tanpa root dapat melakukan banyak kerusakan pada hal-hal yang penting.

Muzer
sumber
2

Sementara setuju dengan orang lain, pada dasarnya, saya hanya ingin menunjukkan bahwa ada kesalahan mendasar mengambang di sini: asumsi bahwa anti-virus hanya dapat meningkatkan keamanan (dan karenanya pertanyaannya adalah "apakah saya memerlukan anti-virus atau apakah itu tidak perlu ").

Bukan hanya anti-virus yang mungkin tidak diperlukan dalam sistem GNU / Linux saat ini, tetapi sangat mungkin bahwa anti-virus yang Anda temukan (dan terutama yang diiklankan dengan keras) akan merusak keamanan (baik secara langsung dengan mengeksploitasi cacat jika bukan backdoor, atau secara tidak langsung dengan mendorong Anda untuk menjadi lebih ceroboh pada keamanan karena Anda pikir Anda dilindungi oleh anti-virus Anda).

Stefan
sumber
Itu poin yang sangat bagus. Beberapa bukti akan sangat diterima dan dapatkan hasil saya.
Flimm
1

Saya akan mengatakan, ya, Anda perlu semacam anti-virus. Semua orang yang mengatakan bahwa "Linux (/ Ubuntu) adalah save ke virus" harus membaca ini: http://www.geekzone.co.nz/foobar/6229 Contoh dalam artikel ini adalah untuk Gnome / KDE, tapi bukan itu yang hal: Sangat mungkin, itu hanya akan bekerja sedikit berbeda di Ubuntu.

Ya, itu akan jauh lebih sulit bagi Anda untuk mendapatkan virus jika Anda melakukan semua pembaruan, cukup unduh dari repositori tepercaya, dll. Tetapi Anda tidak akan benar-benar diamankan dari virus. Tentu, Anda juga tidak sepenuhnya menyimpan dengan anti-virus. Tapi itu melindungi Anda bahkan pada lapisan lain, yang tidak pernah merupakan hal yang buruk. Mungkin ada perangkat yang terinfeksi di jaringan Anda? Juga, semua orang membuat kesalahan, menelusuri di situs web yang salah dengan JavaScript diaktifkan, atau apa pun.

Dan ransomware secara umum bahkan tidak memerlukan izin khusus untuk dieksekusi: Seperti yang ditunjukkan oleh @Jupotter, sudah ada banyak kemungkinan kerusakan jika memiliki izin pengguna default.

Namnodorel
sumber
1
Ini sebenarnya salah. Perangkat lunak antivirus adalah model keamanan terbalik. Sangat jelas bahwa Anda berasal dari dunia Windows, juga dikenal sebagai dunia "keamanan adalah renungan". Lihat halaman yang baru saja saya tautkan.
Wildcard
1
Apakah Anda memiliki alasan khusus untuk berharap bahwa program anti-virus akan melindungi terhadap ancaman itu? "Cara menulis virus Linux" terdengar seperti setiap virus akan sedikit berbeda dan mungkin tidak terlalu luas, sehingga tidak terdeteksi oleh anti-virus.
jpa
@ Kartu Memori, jpa Artikel yang saya tautkan dalam jawaban saya menangani dengan tepat argumentasi artikel Anda. Linux / Ubuntu sama rapuhnya dengan kebodohan dan "kenyamanan pengguna". Anti-virus tidak hanya ada di sana untuk melindungi terhadap bug dalam sistem yang belum diperbaiki, tetapi juga sesuatu yang a) Dapat mendeteksi virus populer / dikenal yang ada b) Memindai file untuk pola yang berbahaya, dan c) Stand setidaknya sedikit terhadap kebodohan dengan memperingatkan pengguna file berbahaya yang mereka unduh.
Namnodorel
2
"Linux / Ubuntu sama rapuhnya dengan kebodohan dan" kenyamanan "pengguna." Tentu saja. Jika Anda disuruh menjalankan perangkat lunak pada mesin Anda dan itu adalah virus, Anda mengacaukan diri sendiri (dan dengan rela). Tidak ada yang akan melindungi Anda dari itu. TAPI ... virus berjalan liar dan menginfeksi 2+ mesin dari orang yang berbeda TIDAK akan terjadi. Kami TIDAK semua menjalankan perangkat lunak berbahaya. Sistem kami juga tidak mengizinkan kami tanpa persetujuan kami. Ada perbedaan besar: sistem kami adalah multi-pengguna sejak awal sehingga memiliki pendekatan yang berbeda untuk scurity. Windows tidak.
Rinzwind
1
Ringkasnya: "Rekayasa sosial dapat membuat orang yang bodoh untuk menjalankan kode yang merusak." Itu bukan virus. Dan ya, saya membaca tindak lanjutnya juga. Ada artikel yang lebih luas yang membahas semua poin ini. Kutipan singkat: "... komunitas Linux tidak akan melihat perbedaan nyata antara pemula yang (sebagai root) menginfeksi sistem mereka, dan mereka yang secara tidak sengaja mengetik beberapa variasi pada" rm -rf / "saat login sebagai root: Keduanya adalah hasil dari kurang pengalaman dan kurang hati-hati. Dalam kedua kasus, pendidikan, perhatian, dan pengalaman adalah obat yang 100% efektif. "
Wildcard
-1

ya, antivirus akan melindungi Anda dari KillDisk, malware, dan itu juga akan membantu Anda menghapus sampah dari komputer Anda.

Zack Smith
sumber