LinuxのマルウェアであるKillDiskからアンチウイルスで保護できますか?


19

私の親relativeが最近私にメールを送ってきました。彼は最近、アンチウイルスベンダーESETからこの驚くべき見出しに出会いました。

KillDiskがLinuxをターゲットに:$ 250Kの身代金を要求するが、解読できない

電子メールは、ディスクの内容を暗号化し、身代金を要求するソフトウェアの一部を説明し続けています。

私の親relativeは警戒しており、確かにアンチウイルスが今必要であると感じています。

Ubuntuにはアンチウイルスは必要ないと強く感じています。むしろ、Ubuntuユーザーにとって最善の保護は、セキュリティ更新プログラムを迅速にインストールし、定期的なバックアップを保持し、Ubuntu Software Centreなどの信頼できるソースからのソフトウェアのみをインストールすることだと思います。KillDiskの登場により、そのアドバイスは時代遅れになりましたか?


2
心配しないで。彼らはそれを買う余裕のある機関を標的にしているので、彼らはそれだけのお金を求めています。他のマルウェアで見られるように、エクスプロイト手法が広く普及し、1 BTC以下の感染あたりの低い歩留まりを実現するように十分に改変された1〜2年後に戻ってきます。運が良ければ、これはLinuxデスクトップのインストールでは決して起こりません。なぜなら、犯罪者がWindowsやAndroidを追いかける方が経済的だからです。;-]とにかく便利な最新のオフラインバックアップがあれば便利です。
デビッドフォースター

13
その記事のコードを見ると、大きな弱点が際立っています-著者はキーを使用srand(time)randて生成しています!これにより、ウイルスの攻撃時間を推定するか、昨年の〜2 ^ 24のすべての可能性を試すだけで、簡単に推測できるようになります。つまり、この特定のウイルスの亜種についてあまり心配する必要はありません。
-nneonneo

@nneonneo明確にするために、このマルウェアの作者には、記事の作者ではなく、大きな弱点があります。
フリム

1
暗号の弱点は、さらなる参照のためにここに述べた:bleepingcomputer.com/news/security/...
ジョン・U

回答:


21

電子メールは、ディスクの内容を暗号化し、身代金を要求するソフトウェアの一部を説明し続けています。

どうやってそれをしますか?(もちろん、記事ではそれについて言及していません...)。リンクから......

メインの暗号化ルーチンは、ルートディレクトリ内の次のフォルダーを最大17のサブディレクトリまで再帰的に走査します。

/ boot / bin / sbin / lib / security / lib64 / security / usr / local / etc / etc / mnt / share / media / home / usr / tmp / opt / var / root

研究者によると、被害者の「ファイルは4096バイトのファイルブロックに適用されるTriple-DESを使用して暗号化されます」、「各ファイルは64ビット暗号化キーの異なるセットを使用して暗号化されます」。

管理者パスワードを回避できると彼らが信じている方法を知る必要があります...

  • sudoパスワードが必要ですか?
  • または、sudoパスワードを総当たり攻撃しようとしますか?もしそうなら、パスワードはどれくらい良いですか?
  • このマルウェアをメールからダウンロードして実行する必要がありますか?(...)その場合...しないでください:-P

これに対抗する最善の方法:定期的なバックアップを作成し、重要なもののバックアップを複数保存します。ディスクをフォーマットして再インストールし、クリーンなバックアップを復元することは常に可能です。

Ubuntuにはアンチウイルスは必要ないと強く感じています。

私も!しかし、ウイルスはすべてのマルウェアのほんの一部です。また、ルートキットと、上記で説明したようなクラップウェアも入手しました。

KillDiskの登場により、そのアドバイスは時代遅れになりましたか?

いや!そのアドバイスはあなたが得ることができる最高のものです。現時点では、Ubuntu Software Centerにマルウェアがないと考えることができます。その記事と私が見つけた同様の記事にはすべて1ビットの情報が欠けています。実際にどのようにディスクを暗号化しているのでしょうか。


11
ウイルスがユーザーのホームディレクトリを暗号化できる場合、それは最終的にユーザーが本当に気にすることです。
ジュポッター

記事を確認してください。それは明らかに家の外のディレクトリをリストします。また、grubが置き換えられることを示唆しています。繰り返しますが、ウイルスではありません。ウイルスは拡散を意味します。マルウェア。はい。
リンツウィンド

1
@Jupotter、まだコードを実行する必要あります。Microsoftとは異なり、Linuxは電子メールの添付ファイルなどを自動的に実行しません。
ワイルドカード

@Wildcard KillDiskは、コード実行のためにアプリケーション内の既知の脆弱性を悪用しますか、それとも実際にユーザーに実行を要求しますか?
タングル

1
@Wildcard:2つのうちのいずれかに完全に当てはまるわけではありません。LinuxもWindowsも、電子メールの添付ファイルを明示的に実行しません。ただし、HTMLレンダラーとイメージデコーダーには、任意のコード実行の脆弱性が存在する傾向があり、攻撃者が電子メールを使用してリモートでコードを実行する可能性があります。過去には、WindowsではHTMLレンダラーがOSに組み込まれていたため、Linuxよりも問題が悪化する傾向がありました。また、Windowsユーザーは、すべての電子メールの添付ファイルとダウンロードしたファイルを手動でクリックして実行するように訓練されています。Linuxでは、それほど単純ではありません。
デビッドフォースター

4

明らかなように、Linuxは完全に安全ではありませんが、セキュリティパッチが定期的にダウンロードされることを考えると、アンチウイルスソフトウェアの必要性は生じません。また、KillDiskランサムウェアは最近登場し、サーバーをホストしているビジネス組織と企業のみを対象にしていることが知られています。現在のところ、ホームLinuxユーザーは安全であるはずです。さらに重要なことは、すべてのLinuxユーザーは、未知の悪意のあるプログラムに許可が与えられた場合に、スーパーユーザー/ルート特権がどれだけの違いをもたらすかを知る必要があります(結果は完全に望ましくない、または破壊的でさえあります)。もちろん、定期的なバックアップを維持することは、通常のユーザーにとっては問題になりません。


KillDiskがビジネス組織のみをターゲットにしていることをどのように知っていますか?なぜ個人もそうではないのですか?
フリム

これまで、KillDiskはビジネス組織や企業を対象としてきました。悪意のある人がホームユーザーを標的とするのはなぜですか?通常のホームLinuxユーザーは、バックアップを簡単に作成して復元することができ、決してそのような大きな身代金を支払うことはありません。現在、大企業はバックアップを作成する際により大きな問題に直面し、より多くの時間とリソースを必要とします。万が一、ワイプしたデータに依存している場合、顧客による犯罪の申し立てと致命的な攻撃を避けるためにデータを復元する必要があります簡単な選択肢は身代金を支払うことです。
50calrevolver

また、多くのホームユーザーは、1日の間嘆くことを選択するか、または実行してから、大きな身代金を支払う代わりに自分の生活を続けます。KillDiskは、実際にサイトがそれを主張しているものである場合、お金を強要することを目的とした知名度の高い攻撃ランサムウェアであり、アナーキーを作成する楽しい攻撃ではありません。発生が増えると、すべてのディストリビューションでセキュリティパッチが確実に降ってくるでしょう。大企業はデータの損失に耐えることができないため、攻撃者はホームユーザーを介してデータを標的にします。また、複数のネットワークが接続されているため、大企業ではさらに感染する可能性が高くなります。
50calrevolver

4

この答えは、マルウェアが実際にトロイの木馬であると想定しています。つまり、ユーザーが疑わしいものを(おそらくrootとして)積極的に実行していることを前提としています。

LinuxがWindowsよりもウイルスに強いと言われている理由はいくつかあります。LinuxがWindowsよりも本質的に安全であるということはありません。Linuxディストリビューションは、Windowsよりもオペレーティングシステムファイルを保護する傾向があるのは事実ですが(これは、Windowsが固有の違いよりも古いソフトウェアとの下位互換性を必要としているためです)、どの場合でもあなたを保護しませんあなたの個人的なファイルに対する攻撃、またはボットネットの一部であること。これらは最近のウイルスで大流行している2つのことです。

いいえ、主な理由は次のとおりです。

  1. 考えられる攻撃のためのはるかに小さなユーザーベース。Linux サーバーを標的とする攻撃は数多くありますが、インターネットに意図的にさらされたボックスを悪用する傾向があり、悪用の手段がまったく異なるため、ここでは驚くほど重要ではありません。デスクトップ上のLinuxは非常に小さなターゲットなので、通常はそれだけの価値はありません。

  2. Linuxディストリビューションは、信頼できるソースからソフトウェアをインストールするという非常に強い感覚を持っています。Sourceforgeがインストーラーにマルウェアを挿入したり、古いプロジェクトのWebサイトがハッキングされたり、ダウンロードがマルウェアに置き換えられたりすることを心配する必要はありません。これはソフトウェアを入手する標準的な場所ではないからです。

したがって、後者は非常に重要です。Windowsを使用するのと同じように、Ubuntuを使用する習慣がある場合-Webからランダムにソースからソフトウェアを無計画にダウンロードし、ディストリビューションにうまくインストールするようにしようとすると、あなたは悪い時間を過ごすことになります。Ubuntuのソフトウェアリポジトリから可能な限り多くのものをインストールするようにしてください。これらのリポジトリは、慎重に吟味されており、マルウェアが含まれている可能性は非常に低いです。外部ソースからソフトウェアをダウンロードする必要がある場合は、慎重なWindowsパワーユーザーユーザーと同じように十分な注意と注意を払う必要があります。ソースを信頼する合理的な方法があることを確認し、盲目的にコマンドを実行しないでください。彼らが何をしているのか理解せずにインターネットで見つけました!ルートを必要とするものには特に注意してください(sudo)、ただし、ルートのないものでも、重要なものに多大な損害を与える可能性があることに留意してください。


2

基本的に、ここに浮かぶ根本的なエラーがあることを指摘したいと思います:アンチウイルスはセキュリティを向上させることができるという仮定(したがって、質問は「アンチウイルスが必要ですか?不要ですか」)。

現在のGNU / Linuxシステムではアンチウイルスがおそらく必要ないだけでなく、あなたが見つけるかもしれないアンチウイルス(特に大声で宣伝されているもの)はセキュリティに有害である可能性が非常に高いですバックドアではない場合、または間接的に、ウイルス対策によって保護されていると思われるため、セキュリティがより粗雑になるよう間接的に奨励することによる欠陥)。


それは非常に良い点です。いくつかの証拠は大歓迎であり、私の賛成を得ます。
フリム

1

はい、あなたはある種のアンチウイルスが必要です。「Linuxの(/ Ubuntuは)ウイルスに保存である」と言って誰もがこのに読み取り与える必要があります: http://www.geekzone.co.nz/foobar/6229の記事の例では、GNOME / KDEのためのものであるが、それは何ではありません重要:可能性は非常に高く、Ubuntuでは少し異なる動作をします。

はい。すべての更新を行う場合、信頼できるリポジトリからダウンロードする場合など、ウイルスを取得することは非常に困難になります。しかし、ウイルスから実際に保護されることはありません。もちろん、アンチウイルスだけで完全に保存されるわけでもありません。しかし、それはさらに別のレイヤーであなたを保護します。これは決して悪いことではありません。ネットワークに感染したデバイスが存在する可能性がありますか?また、誰もが間違いを犯したり、JavaScriptが有効になっている間違ったWebサイトを閲覧したりします。

また、ランサムウェアは通常、特別な権限を実行する必要さえありません。@ Jupotterが指摘したように、デフォルトのユーザー権限がある場合、すでに多くの損害の可能性があります。


1
これは事実間違っています。ウイルス対策ソフトウェアは、逆のセキュリティモデルです。 「セキュリティは後付け」の世界としても知られているWindowsの世界から来ていることは明らかです。リンクしたばかりのページをご覧ください。
ワイルドカード

1
アンチウイルスプログラムがこれらの脅威から保護することを期待する特別な理由はありますか?「Linuxウイルスの書き方」は、すべてのウイルスがわずかに異なり、おそらくあまり普及していないため、アンチウイルスによって検出されないようです。
日本時間

@Wildcard、jpa私の回答でリンクした記事は、あなたの記事の議論に正確に取り組んでいます。Linux / Ubuntuは、ユーザーの愚かさや「便利さ」に対して脆弱です。アンチウイルスは、まだ修正されていないシステムのバグから保護するためだけでなく、a)既存の一般的な/既知のウイルスを検出できるb)危険なパターンのファイルをスキャンし、c)スタンドダウンロードした悪意のあるファイルについてユーザーに警告することで、少なくともバカに反対します。
ナムノドル

2
「Linux / Ubuntuは、ユーザーの愚かさや「利便性」に対して脆弱です。」もちろん。マシンでソフトウェアを実行するように言われ、それがウイルスである場合は、自分で(そして喜んで)ねじ込みました。誰もあなたからそれを保護しません。しかし...野生で実行され、異なる人々からの2台以上のマシンに感染するウイルスは発生しません。悪意のあるソフトウェアをすべて実行するわけではありません。また、私たちのシステムは私たちの同意なしに私たちを許可しません。大きな違いがあります。私たちのシステムは最初からマルチユーザーだったので、セキュリティに対するアプローチが異なります。Windowsはそうではありませんでした。
リンツウィンド

1
要約:「ソーシャルエンジニアリングにより、無知な人が破壊的なコードを実行する可能性があります。」それはウイルスではありません。はい、フォローアップも読みました。これらすべてのポイントに対処するより広範な記事があります。短い抜粋:「... Linuxコミュニティは、システムに(rootとして)感染する初心者と、rootとしてログインしているときに誤って「rm -rf /」に何らかのバリエーションを入力する初心者との間に実際の区別はありません。どちらの場合も、教育、注意、および経験は100%効果的な治療法です。」
ワイルドカード

-1

はい、アンチウイルスはKillDisk、マルウェアからユーザーを保護し、コンピューターからジャンクフライを削除するのにも役立ちます。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.