Bagaimana kerentanan Ubuntu terhadap enkripsi ransomware?

9

Sunting: Ini berbeda dari duplikat yang disarankan. Duplikat yang disarankan adalah tentang virus dan antivirus secara umum. Pertanyaan ini secara khusus tentang ransomware enkripsi , cara menjalankannya, dan apakah itu akan memengaruhi folder terenkripsi.

Saat ini, perangkat lunak berbahaya tampaknya menginfeksi komputer Windows, mengenkripsi data mereka di luar kehendak mereka, dan meminta tebusan Bitcoin sebagai ganti kunci enkripsi.

Saya kira mungkin tidak akan ada orang yang mengkode ransomware untuk Linux, tetapi katakanlah seseorang melakukannya:

Agar perangkat lunak seperti itu dapat menjalankan "berhasil" pada mesin Ubuntu, apakah pengguna pertama-tama harus menjalankannya dan memberikan kata sandi sudo? Apakah ancaman semacam itu dapat dibayangkan di Ubuntu tanpa pengguna melakukan ini?

Jika file pengguna sudah dienkripsi, apakah itu melindungi terhadap ini? Bisakah program ransomware, jika tanpa sengaja diinstal oleh pengguna (yang juga dikonfirmasi dengan kata sandi sudo), bahkan mengambil sandera data pra-terenkripsi Anda?

Secara umum, seberapa rentan Ubuntu terhadap enkripsi ransomware, dan seberapa ceroboh / tidaknya tindakan yang harus dilakukan oleh pengguna untuk benar-benar membuat data miliknya disandera?

malware 
Revetahw berkata Reinstate Monica
sumber
2
Ubuntu tidak kebal terhadap ransomware, tetapi, sama seperti pada windows, pengguna harus menginstalnya.
mikewhever
1
dr_
Meskipun sistem file mana pun tidak terlindungi dari penulisan, OS tidak masalah.
Braiam
1
Sederhananya, apa pun yang rentan rm -rf --no-preserve-root /juga rentan terhadap ransomware.
Ajedi32
@mikewhthing Itu Tidak Perlu Jadi. JavaScript Ransomware sekarang menjadi hal. Saatnya memasang NoScript atau ScriptSafe.
tjd

Jawaban:

10

Agar perangkat lunak seperti itu dapat menjalankan "berhasil" pada mesin Ubuntu, apakah pengguna pertama-tama harus menjalankannya dan memberikan kata sandi sudo?

Tidak, saya akan menganggap data tersebut adalah data pribadi Anda dan "sudo" diperlukan untuk file sistem.

Jika file pengguna sudah dienkripsi, apakah itu melindungi terhadap ini?

Tidak. Data adalah data. Enkripsi tidak memainkan peranan: ransomware akan mengunci data itu sendiri

Bisakah program ransomware, jika tanpa sengaja diinstal oleh pengguna (yang juga dikonfirmasi dengan kata sandi sudo), bahkan mengambil sandera data pra-terenkripsi Anda?

Iya. Mereka tidak akan bisa MELIHAT data tetapi itu bukan niat mereka. Enkripsi juga tidak penting: mereka mengunci "wadah" Anda.

Secara umum, seberapa rentan Ubuntu terhadap enkripsi ransomware, dan seberapa ceroboh / tidaknya tindakan yang harus dilakukan oleh pengguna untuk benar-benar membuat data miliknya disandera?

Seseorang pertama-tama harus menciptakan situasi di mana Anda dan banyak orang lain bersedia mengunduh dan menginstal perangkat lunak mereka. Itu adalah rintangan yang bahkan tidak bisa diambil oleh penulis perangkat lunak virus.

Seluruh gagasan ransomware adalah menargetkan pengguna sebanyak mungkin dalam jangka waktu sesingkat mungkin.

Segera setelah 1 pengguna Linux menjadi sasaran dan mereka benar-benar mendapatkan datanya tercemar, semua akan terlepas dan dalam beberapa menit kita semua akan mendapat informasi dalam beberapa cara. Lihatlah apa yang terjadi ketika bug OpenSSL muncul. Dalam hitungan menit semua situs web TI memiliki cerita sendiri. Sama dengan bug kernel yang muncul 2 hari yang lalu. Semua orang menerkamnya. Jika itu terjadi, saya tidak melihat ini terjadi pada lebih dari beberapa pengguna. Pada saat itu kita semua mendapat informasi atau jika mungkin akan ada perbaikan untuk metode yang mereka gunakan (seperti lubang di kernel atau di browser yang mereka eksploitasi).

Sebagian besar dari kita menggunakan Pusat Perangkat Lunak Ubuntu. Seberapa besar kemungkinan malware ini berakhir di Ubuntu Software Center? Selanjutnya kita menggunakan PPA. Informasi untuk PPA yang kami dapatkan dari situs-situs seperti omg.ubuntu.co.uk atau webupd8 atau dari saluran Ubuntu tepercaya.

Itu juga perbedaan antara Linux / Ubuntu dan Windows: Pengguna Windows diminta untuk mengunduh dan menginstal perangkat lunak dari situs web apa pun yang dapat mereka temukan. Kami kebanyakan tidak melakukan itu. Jadi jumlah sampah yang dapat Anda unduh untuk Windows beberapa kali lebih tinggi daripada sistem operasi lainnya. Menjadikan Windows target yang lebih mudah.

Rinzwind
sumber
Jawabannya sangat terperinci, sangat dihargai.
Revetahw mengatakan Reinstate Monica
2
> Seseorang pertama-tama harus menciptakan situasi di mana Anda dan banyak orang lain bersedia mengunduh dan menginstal perangkat lunak mereka. => itu vektor yang paling umum, ya, tapi RCE adalah kemungkinan lain. Itu bisa melalui browser Anda atau layanan jaringan lainnya (bahkan bug dalam modul wifi?). Ransomware hanya akan menyelamatkan mereka dari kesulitan menemukan eskalasi hak istimewa.
Bob
Saya selalu kagum ketika saya melihat pengguna windows menginstal perangkat lunak dengan mengetikkan nama di google dan mengklik tautan pertama tanpa bertanya-tanya tentang validitas sumber (tentu saja tidak semua pengguna windows, tetapi setidaknya beberapa yang saya gunakan). tahu)
njzk2
@ Bob ya benar. Lihat bug kernel 3 hari yang lalu. Tapi itu membutuhkan keterampilan pengkodean yang menyeluruh sehingga tidak ada yang mengeksekusi kode. Saya akan percaya rekayasa sosial akan menjadi masalah yang lebih besar daripada RCE.
Rinzwind
9

Agar perangkat lunak seperti itu dapat menjalankan "berhasil" pada mesin Ubuntu, apakah pengguna pertama-tama harus menjalankannya dan memberikan kata sandi sudo?

Jalankan, ya, tentu saja. Berikan kata sandi sudo, tidak. Kata sandi sudo diperlukan untuk memodifikasi file atau pengaturan sistem. Namun, ransomware mengenkripsi file pribadi pengguna, yang sepenuhnya dapat diakses oleh pengguna tanpa kata sandi. Namun, kata sandi sudo diperlukan untuk mengenkripsi file pengguna lain.

Jika file pengguna sudah dienkripsi, apakah itu melindungi terhadap ini?

Tidak. Ransomware akan mengenkripsi file yang dienkripsi, sehingga ketika Anda mencoba mendekripsi mereka dengan kunci asli Anda, dekripsi tidak akan berfungsi. Secara gambar, Anda mengunci file di dalam kotak (yang Anda miliki kuncinya), dan ransomware mengunci kotak Anda di dalam kotak yang lebih besar, di mana Anda tidak memiliki kuncinya.

fkraiem
sumber
2
Ya, karena pengguna selalu memiliki kontrol penuh pada file-nya sendiri. Namun, tanpa kata sandi sudo, kerusakan akan sangat terbatas pada akun pengguna itu.
fkraiem
1
Tidak bisakah saya hanya menghapus file yang dienkripsi dan mengembalikannya dari cadangan?
Jos
7
Anda selalu dapat memulihkan file dari cadangan, jelas ...
fkraiem
4
Mereka tentu saja tidak mengenkripsi seluruh sistem file, dalam hal ini sistem tidak akan lagi boot dan pengguna tidak memiliki cara untuk membayar. Mereka mengenkripsi file individual yang dianggap penting bagi pengguna (dokumen, gambar, dll.). Jika pengguna memiliki cadangan, maka ia dapat memulihkan file dari itu, tetapi banyak orang tidak.
fkraiem
1
@ TripeHound Tergantung. Dalam banyak kasus, sudo-otorisasi adalah per pty / tty / terminal. Selain itu, itu akan selalu menjadi langkah yang baik untuk menghapus dan menginstal ulang sebelum mengembalikan cadangan untuk memastikan tidak ada executable ransomware yang bersembunyi di lokasi acak per pengguna.
nanofarad
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.