¿Puede un antivirus protegerme de KillDisk, malware para Linux?


19

Un pariente mío recientemente me envió un correo electrónico. Recientemente se encontró con este titular alarmante del proveedor de antivirus ESET:

KillDisk ahora apunta a Linux: exige un rescate de $ 250K, pero no puede descifrar

El correo electrónico continúa describiendo una pieza de software que encripta el contenido del disco y exige un rescate.

Mi pariente está alarmado y siente que seguramente se necesita un antivirus.

Creo firmemente que no se necesita un antivirus en Ubuntu. Más bien, creo que la mejor protección para un usuario de Ubuntu es instalar actualizaciones de seguridad rápidamente, mantener copias de seguridad periódicas e instalar solo software de fuentes confiables como el Centro de software de Ubuntu. ¿Ese consejo está desactualizado con el advenimiento de KillDisk?


2
No te preocupes Solo están pidiendo tanto dinero porque apuntan a instituciones que pueden pagarlo. Regrese en un año o dos cuando la técnica de explotación se haya comercializado lo suficiente como para una amplia difusión y un bajo rendimiento por infección de ≤1 BTC como estamos viendo en otro malware. Si tiene suerte, esto nunca sucederá con las instalaciones de escritorio de Linux porque es más económico para los delincuentes perseguir a Windows y Android. ; -] Solo tenga una copia de seguridad sin conexión reciente a mano como debería de todos modos.
David Foerster

13
Con solo mirar el código de ese artículo, se destaca una gran debilidad: ¡los autores están usando srand(time)y randpara generar las claves! Esto los hace trivialmente adivinables (estimando el tiempo de ataque del virus, o simplemente probando todas las posibilidades ~ 2 ^ 24 del último año), lo que significa que no debería tener mucho que temer de esta variante particular del virus.
nneonneo

@nneonneo Para ser claros, los autores del malware tienen una gran debilidad, no los autores del artículo.
Flimm

1
La debilidad de la criptografía también se menciona aquí para más información: bleepingcomputer.com/news/security/…
John U

Respuestas:


20

El correo electrónico continúa describiendo una pieza de software que encripta el contenido del disco y exige un rescate.

¿Como hace eso? (Por supuesto, el artículo no menciona eso ...). Desde el enlace ...

La rutina de cifrado principal atraviesa recursivamente las siguientes carpetas dentro del directorio raíz hasta 17 subdirectorios en profundidad:

/ boot / bin / sbin / lib / security / lib64 / security / usr / local / etc / etc / mnt / share / media / home / usr / tmp / opt / var / root

Según los investigadores, los "archivos de la víctima están encriptados usando Triple-DES aplicado a bloques de archivos de 4096 bytes" y "cada archivo está encriptado usando un conjunto diferente de claves de encriptación de 64 bits".

Necesitamos saber cómo creen que pueden eludir la contraseña de administrador ...

  • ¿Requiere una contraseña de sudo?
  • ¿O intenta forzar con fuerza bruta la contraseña de sudo? Si es así, ¿qué tan buena es su contraseña?
  • ¿Requiere que descargue este malware del correo y lo ejecute? (...) Si es así ... no :-P

El mejor método para contrarrestar esto: crea copias de seguridad regulares y guarda más de 1 copia de seguridad de cualquier cosa importante para ti. Siempre es posible formatear un disco, reinstalar y restaurar una copia de seguridad limpia.

Creo firmemente que no se necesita un antivirus en Ubuntu.

¡Yo también! Pero un virus es solo una pequeña parte de todo el malware. También tienes rootkits y crapware como lo que describiste anteriormente.

¿Ese consejo está desactualizado con el advenimiento de KillDisk?

¡No! Ese consejo es lo mejor que puedes obtener. Por el momento podemos considerar Ubuntu Software Center libre de malware. Ese artículo y otros artículos similares que encontré carecen de 1 bit de información: cómo encripta nuestros discos.


11
Si el virus solo puede encriptar el directorio de inicio del usuario, que es, al final, lo que realmente le importa al usuario .
Jupotter

Mira el artículo. claramente enumera directorios fuera de casa. Y también sugiere que la comida está siendo reemplazada. Y de nuevo: no es un virus. Un virus implica propagación. Malware Si.
Rinzwind

1
@Jupotter, todavía tienes que ejecutar el código. A diferencia de Microsoft, Linux no ejecuta automáticamente archivos adjuntos de correo electrónico y similares.
Comodín el

@Wildcard ¿KillDisk explota algún tipo de vulnerabilidades conocidas dentro de las aplicaciones para la ejecución de código o realmente requiere que un usuario lo ejecute?
Tangrs

1
@Wildcard: No es del todo cierto para ninguno de los dos. Ni Linux ni Windows ejecutan explícitamente archivos adjuntos de correo electrónico. Sin embargo, los renderizadores HTML y los decodificadores de imágenes tienden a tener vulnerabilidades de ejecución de código arbitrario que un atacante podría convertir en una ejecución remota de código con un correo electrónico. En el pasado, en Windows, el problema solía ser peor que en Linux porque el procesador HTML estaba conectado al sistema operativo. Además, los usuarios de Windows están más capacitados para hacer clic y ejecutar manualmente todos los archivos adjuntos de correo electrónico y los archivos descargados. En Linux no es tan simple.
David Foerster

4

Como es obvio, Linux no es completamente seguro, pero la necesidad de un software antivirus no debería surgir dado que los parches de seguridad se descargan regularmente. También el software de rescate KillDisk ha aparecido recientemente y se sabe que se dirige solo a organizaciones empresariales y empresas que alojan servidores. Los usuarios domésticos de Linux deberían estar seguros a partir de ahora. Más importante aún, todos los usuarios de Linux deben saber cuánta diferencia pueden hacer los privilegios de superusuario / raíz, si se otorgan permisos a programas maliciosos desconocidos (los resultados pueden ser completamente indeseables o incluso devastadores). Por supuesto, mantener copias de seguridad periódicas no debería ser un problema para los usuarios habituales.


¿Cómo sabe que KillDisk solo se dirige a organizaciones empresariales? ¿Por qué no los individuos también?
Flimm

En el pasado, KillDisk se ha dirigido a organizaciones y empresas comerciales. ¿Por qué una persona maliciosa atacaría a un usuario doméstico? Los usuarios habituales de Linux en el hogar pueden crear fácilmente copias de seguridad y restaurarlas y de ninguna manera pagarían rescates tan grandes. Ahora las grandes empresas enfrentan mayores problemas y toman más tiempo y recursos al crear copias de seguridad y, si por casualidad dependen de los datos eliminados, tendrían que restaurar los datos para evitar acusaciones criminales por parte de los clientes y ser el ataque mortal. La única opción fácil sería pagar el rescate.
50calrevolver

Además, muchos usuarios domésticos eligen lamentarse por un día o hacer y luego seguir con sus vidas en lugar de pagar el enorme rescate. KillDisk, si en realidad es lo que los sitios afirman que es, es más un ransomware de ataque de alto perfil destinado a extorsionar dinero y no un ataque divertido que crea anarquía. Si crecen los sucesos, los parches de seguridad seguramente lloverán para todas las distribuciones. Las grandes empresas no pueden soportar la pérdida de datos y, por lo tanto, los atacantes los atacan a los usuarios domésticos. Además, hay una mayor probabilidad de una mayor infección en las grandes empresas debido a varias redes conectadas.
50calrevolver

4

Esta respuesta supondrá que el malware es en realidad un troyano, es decir, gira en torno al usuario que ejecuta activamente (tal vez como root) algo sospechoso.

Hay algunas razones por las que se dice que Linux es más a prueba de virus que Windows. Ninguno de ellos es que Linux es inherentemente más seguro que Windows. Si bien es cierto que las distribuciones de Linux tienden a proteger los archivos del sistema operativo mucho mejor que Windows (aunque esto es más gracias a que Windows necesita ser compatible con versiones anteriores de software anterior que cualquier diferencia inherente), en cualquier caso, eso no lo protege de ataques contra sus archivos personales, o ser parte de una botnet, que son las dos cosas que están de moda en los virus en estos días.

No, las razones principales son:

  1. Base de usuarios mucho más pequeña para posibles ataques. Si bien ha habido muchos ataques dirigidos a servidores Linux , estos no son sorprendentemente relevantes aquí, ya que tienden a explotar cajas que quedan deliberadamente expuestas a Internet, por lo que los medios de explotación son totalmente diferentes. Linux en el escritorio es un objetivo tan pequeño que generalmente no vale la pena.

  2. Las distribuciones de Linux tienen un sentido mucho más fuerte de instalar software de fuentes confiables. No tiene que preocuparse de que Sourceforge inyecte malware en sus instaladores, o que el sitio web de un antiguo proyecto haya sido pirateado y las descargas reemplazadas por malware, porque este no es el lugar estándar para obtener software.

Entonces, esto último es muy importante. Si su hábito es usar Ubuntu como lo haría con Windows: descargando software al azar de la web, de fuentes aleatorias e intentando que se instalen bien en su distribución, lo pasará mal. Debería intentar instalar tantas cosas como sea posible desde los repositorios de software de Ubuntu, que se examinan con mucho más cuidado y es muy poco probable que contengan malware. Si necesita descargar software de fuentes externas, debe tener el cuidado y la atención debidos como lo haría un usuario cuidadoso de usuarios avanzados de Windows: asegúrese de tener una forma razonable de confiar en la fuente y no solo ejecute comandos a ciegas encontrado en internet sin entender lo que están haciendo! Tenga especial cuidado con cualquier cosa que requiera root (sudo), pero tenga en cuenta que incluso las cosas sin root pueden causar mucho daño a las cosas que importan.


2

Si bien estoy de acuerdo con todos los demás, básicamente, solo quiero señalar que hay un error fundamental flotando aquí: la suposición de que un antivirus solo puede mejorar la seguridad (y, por lo tanto, la pregunta es solo "¿necesito un antivirus o ¿Es innecesario ").

Probablemente no sea necesario un antivirus en ningún sistema GNU / Linux actual, sino que es muy probable que cualquier antivirus que encuentre (y especialmente uno que se anuncie en voz alta) vaya en detrimento de la seguridad (ya sea directamente por tener fallas si no son puertas traseras, o indirectamente al alentarlo a que sea más descuidado con la seguridad porque cree que está protegido por su antivirus).


Ese es un muy buen punto. Alguna evidencia sería muy bienvenida y ganaría mi voto positivo.
Flimm

1

Yo diría que sí, necesitas un antivirus de algún tipo. Todos los que digan que "Linux (/ Ubuntu) se guarda en virus" deberían leer esto: http://www.geekzone.co.nz/foobar/6229 Los ejemplos en el artículo son para Gnome / KDE, pero eso no es lo que asuntos: es muy posible, solo funcionaría un poco diferente en Ubuntu.

Sí, será significativamente más difícil para usted obtener un virus en caso de que realice todas las actualizaciones, solo descargue de repositorios confiables, etc. Pero no estará realmente protegido contra virus. Claro, tampoco estás completamente seguro con un antivirus. Pero te protege incluso en otra capa, lo que nunca es malo. ¿Quizás haya un dispositivo infectado en su red? Además, todos cometen errores, navegan en el sitio web incorrecto con JavaScript habilitado, o lo que sea.

Y el ransomware en general ni siquiera necesita permisos especiales para ejecutarse: como señaló @Jupotter, ya es una gran posibilidad de daños si tiene permisos de usuario predeterminados.


1
Esto es realmente incorrecto. El software antivirus es un modelo de seguridad invertido. Está muy claro que vienes del mundo de Windows, también conocido como el mundo de "la seguridad es una ocurrencia tardía". Vea la página que acabo de vincular.
Comodín el

1
¿Tiene una razón específica para esperar que un programa antivirus proteja contra esas amenazas? "Cómo escribir un virus Linux" parece que cada virus será ligeramente diferente y probablemente no muy extendido, por lo tanto, no será detectado por un antivirus.
jpa

@Wildcard, jpa El artículo que vinculé en mi respuesta aborda exactamente la argumentación de su artículo. Linux / Ubuntu es tan vulnerable contra la estupidez del usuario y las "cosas de conveniencia". Un antivirus no solo está ahí para proteger contra errores en un sistema que aún no se ha solucionado, también es algo que a) puede detectar virus populares / conocidos existentes b) escanear archivos en busca de patrones que son peligrosos, y c) estar de pie al menos un poco contra la estupidez al advertir al usuario de los archivos maliciosos que descargan.
Namnodorel

2
"Linux / Ubuntu es igual de vulnerable contra la estupidez y las" cosas de conveniencia "del usuario". Por supuesto. Si se le indica que ejecute software en su máquina y es un virus, se atornilló (y de buena gana). Nadie te protegerá de eso. PERO ... un virus que se ejecute salvajemente e infecte 2+ máquinas de diferentes personas NO va a suceder. NO todos ejecutamos software malicioso. Nuestro sistema tampoco nos lo permite sin nuestro consentimiento. Existe una gran diferencia: nuestro sistema era multiusuario desde el principio, por lo que tiene un enfoque diferente de la seguridad. Windows no fue.
Rinzwind

1
Resumido: "La ingeniería social puede hacer que personas ignorantes ejecuten código destructivo". Eso no es un virus. Y sí, también leí el seguimiento. Hay un artículo más extenso que aborda todos estos puntos. Un breve extracto: "... la comunidad de Linux no vería una distinción real entre los novatos que (como root) infectan sus sistemas y aquellos que escriben accidentalmente alguna variación en" rm -rf / "mientras están conectados como root: ambos son un resultado de la inexperiencia y la falta de precaución. En ambos casos, la educación, la atención y la experiencia son una cura 100% efectiva ".
Comodín el

-1

sí, un antivirus lo protegerá de KillDisk, malware y también lo ayudará a eliminar las moscas basura de su computadora.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.