¿Puede un antivirus protegerme de KillDisk, malware para Linux?

Un pariente mío recientemente me envió un correo electrónico. Recientemente se encontró con este titular alarmante del proveedor de antivirus ESET:

KillDisk ahora apunta a Linux: exige un rescate de $ 250K, pero no puede descifrar

El correo electrónico continúa describiendo una pieza de software que encripta el contenido del disco y exige un rescate.

Mi pariente está alarmado y siente que seguramente se necesita un antivirus.

Creo firmemente que no se necesita un antivirus en Ubuntu. Más bien, creo que la mejor protección para un usuario de Ubuntu es instalar actualizaciones de seguridad rápidamente, mantener copias de seguridad periódicas e instalar solo software de fuentes confiables como el Centro de software de Ubuntu. ¿Ese consejo está desactualizado con el advenimiento de KillDisk?

El correo electrónico continúa describiendo una pieza de software que encripta el contenido del disco y exige un rescate.

¿Como hace eso? (Por supuesto, el artículo no menciona eso ...). Desde el enlace ...

La rutina de cifrado principal atraviesa recursivamente las siguientes carpetas dentro del directorio raíz hasta 17 subdirectorios en profundidad:

/ boot / bin / sbin / lib / security / lib64 / security / usr / local / etc / etc / mnt / share / media / home / usr / tmp / opt / var / root

Según los investigadores, los "archivos de la víctima están encriptados usando Triple-DES aplicado a bloques de archivos de 4096 bytes" y "cada archivo está encriptado usando un conjunto diferente de claves de encriptación de 64 bits".

Necesitamos saber cómo creen que pueden eludir la contraseña de administrador ...

• ¿Requiere una contraseña de sudo?
• ¿O intenta forzar con fuerza bruta la contraseña de sudo? Si es así, ¿qué tan buena es su contraseña?
• ¿Requiere que descargue este malware del correo y lo ejecute? (...) Si es así ... no :-P

El mejor método para contrarrestar esto: crea copias de seguridad regulares y guarda más de 1 copia de seguridad de cualquier cosa importante para ti. Siempre es posible formatear un disco, reinstalar y restaurar una copia de seguridad limpia.

Creo firmemente que no se necesita un antivirus en Ubuntu.

¡Yo también! Pero un virus es solo una pequeña parte de todo el malware. También tienes rootkits y crapware como lo que describiste anteriormente.

¿Ese consejo está desactualizado con el advenimiento de KillDisk?

¡No! Ese consejo es lo mejor que puedes obtener. Por el momento podemos considerar Ubuntu Software Center libre de malware. Ese artículo y otros artículos similares que encontré carecen de 1 bit de información: cómo encripta nuestros discos.

Como es obvio, Linux no es completamente seguro, pero la necesidad de un software antivirus no debería surgir dado que los parches de seguridad se descargan regularmente. También el software de rescate KillDisk ha aparecido recientemente y se sabe que se dirige solo a organizaciones empresariales y empresas que alojan servidores. Los usuarios domésticos de Linux deberían estar seguros a partir de ahora. Más importante aún, todos los usuarios de Linux deben saber cuánta diferencia pueden hacer los privilegios de superusuario / raíz, si se otorgan permisos a programas maliciosos desconocidos (los resultados pueden ser completamente indeseables o incluso devastadores). Por supuesto, mantener copias de seguridad periódicas no debería ser un problema para los usuarios habituales.

Esta respuesta supondrá que el malware es en realidad un troyano, es decir, gira en torno al usuario que ejecuta activamente (tal vez como root) algo sospechoso.

Hay algunas razones por las que se dice que Linux es más a prueba de virus que Windows. Ninguno de ellos es que Linux es inherentemente más seguro que Windows. Si bien es cierto que las distribuciones de Linux tienden a proteger los archivos del sistema operativo mucho mejor que Windows (aunque esto es más gracias a que Windows necesita ser compatible con versiones anteriores de software anterior que cualquier diferencia inherente), en cualquier caso, eso no lo protege de ataques contra sus archivos personales, o ser parte de una botnet, que son las dos cosas que están de moda en los virus en estos días.

No, las razones principales son:

1. Base de usuarios mucho más pequeña para posibles ataques. Si bien ha habido muchos ataques dirigidos a servidores Linux , estos no son sorprendentemente relevantes aquí, ya que tienden a explotar cajas que quedan deliberadamente expuestas a Internet, por lo que los medios de explotación son totalmente diferentes. Linux en el escritorio es un objetivo tan pequeño que generalmente no vale la pena.

2. Las distribuciones de Linux tienen un sentido mucho más fuerte de instalar software de fuentes confiables. No tiene que preocuparse de que Sourceforge inyecte malware en sus instaladores, o que el sitio web de un antiguo proyecto haya sido pirateado y las descargas reemplazadas por malware, porque este no es el lugar estándar para obtener software.

Entonces, esto último es muy importante. Si su hábito es usar Ubuntu como lo haría con Windows: descargando software al azar de la web, de fuentes aleatorias e intentando que se instalen bien en su distribución, lo pasará mal. Debería intentar instalar tantas cosas como sea posible desde los repositorios de software de Ubuntu, que se examinan con mucho más cuidado y es muy poco probable que contengan malware. Si necesita descargar software de fuentes externas, debe tener el cuidado y la atención debidos como lo haría un usuario cuidadoso de usuarios avanzados de Windows: asegúrese de tener una forma razonable de confiar en la fuente y no solo ejecute comandos a ciegas encontrado en internet sin entender lo que están haciendo! Tenga especial cuidado con cualquier cosa que requiera root (sudo), pero tenga en cuenta que incluso las cosas sin root pueden causar mucho daño a las cosas que importan.

Si bien estoy de acuerdo con todos los demás, básicamente, solo quiero señalar que hay un error fundamental flotando aquí: la suposición de que un antivirus solo puede mejorar la seguridad (y, por lo tanto, la pregunta es solo "¿necesito un antivirus o ¿Es innecesario ").

Probablemente no sea necesario un antivirus en ningún sistema GNU / Linux actual, sino que es muy probable que cualquier antivirus que encuentre (y especialmente uno que se anuncie en voz alta) vaya en detrimento de la seguridad (ya sea directamente por tener fallas si no son puertas traseras, o indirectamente al alentarlo a que sea más descuidado con la seguridad porque cree que está protegido por su antivirus).

Yo diría que sí, necesitas un antivirus de algún tipo. Todos los que digan que "Linux (/ Ubuntu) se guarda en virus" deberían leer esto: http://www.geekzone.co.nz/foobar/6229 Los ejemplos en el artículo son para Gnome / KDE, pero eso no es lo que asuntos: es muy posible, solo funcionaría un poco diferente en Ubuntu.

Sí, será significativamente más difícil para usted obtener un virus en caso de que realice todas las actualizaciones, solo descargue de repositorios confiables, etc. Pero no estará realmente protegido contra virus. Claro, tampoco estás completamente seguro con un antivirus. Pero te protege incluso en otra capa, lo que nunca es malo. ¿Quizás haya un dispositivo infectado en su red? Además, todos cometen errores, navegan en el sitio web incorrecto con JavaScript habilitado, o lo que sea.

Y el ransomware en general ni siquiera necesita permisos especiales para ejecutarse: como señaló @Jupotter, ya es una gran posibilidad de daños si tiene permisos de usuario predeterminados.

sí, un antivirus lo protegerá de KillDisk, malware y también lo ayudará a eliminar las moscas basura de su computadora.