¿Cuán (in) vulnerable sería Ubuntu al cifrado ransomware?

9

Editar: Esto es diferente del duplicado sugerido. El duplicado sugerido es sobre virus y antivirus en general. Esta pregunta es específicamente sobre el ransomware de cifrado , cómo puede ejecutarse y si afectará a las carpetas cifradas.

En estos días, el software malicioso parece estar infectando las computadoras con Windows, cifrando sus datos contra su voluntad y pidiendo un rescate de Bitcoin a cambio de la clave de cifrado.

Supongo que puede ser improbable que alguien codifique ransomware para Linux, pero digamos que alguien lo hizo:

Para que un software de este tipo se ejecute "con éxito" en una máquina Ubuntu, ¿el usuario primero deberá ejecutarlo y proporcionar la contraseña de sudo? ¿Es tal amenaza concebible en Ubuntu sin que el usuario haga esto?

Si los archivos de los usuarios ya estuvieran encriptados, ¿eso protegería contra esto? ¿Podría un programa de ransomware, si un usuario lo instala involuntariamente (quien también confirmó con la contraseña de sudo), tomar incluso su rehén de datos pre-encriptados?

En general, ¿cuán (in) vulnerable es Ubuntu al ransomware de encriptación, y cuán descuidadas / poco inteligentes deben ser las acciones de un usuario para que sus datos sean tomados como rehenes?

Revetahw
fuente
2
Ubuntu no es invulnerable al ransomware, pero, al igual que en Windows, el usuario deberá instalarlo.
mikewhatever
Tan vulnerable como cualquier sistema de archivos no protegido contra escritura, el sistema operativo no importa.
Braiam
1
En pocas palabras, cualquier cosa que sea vulnerable rm -rf --no-preserve-root /también es vulnerable al ransomware.
Ajedi32
@mikewhatever no es necesariamente así. JavaScript Ransomware ahora es una cosa. Hora de instalar NoScript o ScriptSafe.
tjd

Respuestas:

10

Para que un software de este tipo se ejecute "con éxito" en una máquina Ubuntu, ¿el usuario primero deberá ejecutarlo y proporcionar la contraseña de sudo?

No, supongo que los datos son sus datos personales y se necesita "sudo" para los archivos del sistema.

Si los archivos de los usuarios ya estuvieran encriptados, ¿eso protegería contra esto?

No. Los datos son datos. El cifrado no juega ningún papel: el ransomware bloqueará los datos en sí

¿Podría un programa de ransomware, si un usuario lo instala involuntariamente (quien también confirmó con la contraseña de sudo), tomar incluso su rehén de datos pre-encriptados?

Si. No podrían VER los datos, pero esa no era su intención. El cifrado tampoco es importante de ninguna manera: bloquean su "contenedor".

En general, ¿cuán (in) vulnerable es Ubuntu al ransomware de encriptación, y cuán descuidadas / poco inteligentes deben ser las acciones de un usuario para que sus datos sean tomados como rehenes?

Alguien primero tiene que crear una situación en la que usted y muchos otros estén dispuestos a descargar e instalar su software. Eso es un obstáculo que incluso los escritores de software de virus no han podido tomar.

La idea del ransomware es apuntar a la mayor cantidad de usuarios posible en el menor tiempo posible.

Tan pronto como 1 usuario de Linux sea atacado y realmente contaminen sus datos, el infierno se desataría y en cuestión de minutos todos nos informaremos de alguna manera. Mira lo que sucedió cuando apareció el error OpenSSL. En cuestión de minutos, todos los sitios web de TI tenían una historia que contar. Lo mismo con el error del kernel que apareció hace 2 días. Todos saltaron sobre eso. Si sucede, no veo que esto suceda a más de unos pocos usuarios. Para entonces, todos nos informamos o, si es posible, habrá una solución para el método que usaron (como un agujero en el kernel o en un navegador que explotaron).

La mayoría de nosotros usamos el Centro de software de Ubuntu. ¿Qué posibilidades hay de que este malware termine en el Centro de software de Ubuntu? A continuación usamos PPA. La información para esos PPA que obtenemos de sitios como omg.ubuntu.co.uk o webupd8 o de canales confiables de Ubuntu.

Esa es también la diferencia entre Linux / Ubuntu y Windows: a los usuarios de Windows se les dice que descarguen e instalen software desde cualquier sitio web que puedan encontrar. Principalmente no hacemos eso. Por lo tanto, la cantidad de basura que puede descargar para Windows es varias veces mayor que la de cualquier otro sistema operativo. Hace de Windows un objetivo más fácil.

Rinzwind
fuente
Respuesta muy detallada, muy apreciada.
Revetahw
1
> Alguien primero tiene que crear una situación en la que usted y muchos otros estén dispuestos a descargar e instalar su software. => ese es el vector más común, sí, pero un RCE es otra posibilidad. Eso podría ser a través de su navegador o cualquier otro servicio de red (¿incluso un error en el módulo wifi?). El ransomware simplemente les ahorraría la molestia de encontrar una escalada de privilegios vuln.
Bob
Siempre me sorprende ver a un usuario de Windows instalar un software escribiendo el nombre en google y haciendo clic en el primer enlace sin preguntarme sobre la validez de la fuente (obviamente, no serían todos los usuarios de Windows, pero al menos varios que yo saber)
njzk2
@Bob sí es cierto. Ver el error del kernel hace 3 días. Pero eso requiere habilidades de codificación exhaustivas para que los ejecutores de código queden fuera. Creo que la ingeniería social sería un problema mayor que los RCE.
Rinzwind
8

Para que un software de este tipo se ejecute "con éxito" en una máquina Ubuntu, ¿el usuario primero deberá ejecutarlo y proporcionar la contraseña de sudo?

Ejecútalo, sí, por supuesto. Dale la contraseña de sudo, no. La contraseña de sudo es necesaria para modificar la configuración o los archivos del sistema. Sin embargo, el ransomware encripta los archivos personales del usuario, a los que el usuario puede acceder sin una contraseña. Sin embargo, la contraseña de sudo sería necesaria para encriptar archivos de otros usuarios.

Si los archivos de los usuarios ya estuvieran encriptados, ¿eso protegería contra esto?

No. El ransomware cifraría los archivos cifrados, de modo que cuando intente descifrarlos con su clave original, el descifrado no funcionará. Pictóricamente, bloquea sus archivos dentro de una caja (de la cual tiene la clave), y el ransomware bloquea su caja dentro de una caja más grande, de la cual no tiene la clave.

fkraiem
fuente
2
Sí, porque un usuario siempre tiene control total sobre sus propios archivos. Sin la contraseña de sudo, sin embargo, el daño estará estrictamente limitado a la cuenta de ese usuario.
fkraiem
1
¿No podría simplemente eliminar los archivos cifrados y restaurarlos desde la copia de seguridad?
Jos
77
Siempre puede restaurar los archivos desde una copia de seguridad, obviamente ...
fkraiem
44
Ciertamente no cifran todo el sistema de archivos, en ese caso el sistema ya no se iniciará y el usuario no tendrá forma de pagar. Cifran archivos individuales que se presumen importantes para el usuario (documentos, imágenes, etc.). Si el usuario tiene una copia de seguridad, puede restaurar los archivos, pero muchas personas no.
fkraiem
1
@TripeHound Depende. En muchos casos, la autorización sudo es por pty / tty / terminal. Además, siempre sería una buena medida borrar y reinstalar antes de restaurar las copias de seguridad para garantizar que no haya archivos ejecutables de ransomware ocultos en ubicaciones aleatorias por usuario.
ζ--