Dans quelle mesure Ubuntu serait-il (in) vulnérable au cryptage ransomware?

Modifier: c'est différent du doublon suggéré. Le doublon suggéré concerne les virus et les antivirus en général. Cette question concerne spécifiquement le rançongiciel de chiffrement , comment il peut s'exécuter et s'il affectera les dossiers chiffrés.

De nos jours, les logiciels malveillants semblent infecter les ordinateurs Windows, chiffrer leurs données contre leur volonté et demander une rançon Bitcoin en échange de la clé de chiffrement.

Je suppose qu'il est peu probable que quelqu'un code un ransomware pour Linux, mais disons que quelqu'un l'a fait:

Pour qu'un tel logiciel s'exécute "avec succès" sur une machine Ubuntu, l'utilisateur devrait-il d'abord l'exécuter et donner le mot de passe sudo? Une telle menace est-elle envisageable sur Ubuntu sans que l'utilisateur ne le fasse?

Si les fichiers des utilisateurs étaient déjà cryptés, cela protégerait-il contre cela? Un programme rançongiciel, s'il est installé à son insu par un utilisateur (qui a également confirmé avec le mot de passe sudo), pourrait-il même prendre en otage vos données précryptées?

En général, dans quelle mesure Ubuntu est-il vulnérable aux rançongiciels de chiffrement et à quel point les actions d'un utilisateur doivent-elles être négligentes pour que ses données soient prises en otage?

malware

— Revetahw dit de réintégrer Monica
source

Ubuntu n'est pas invulnérable aux ransomwares, mais, comme sur Windows, l'utilisateur devra l'installer.

— mikewimporte

Copie possible de Dois-je installer un «logiciel antivirus»?

— dr_

Aussi vulnérable que n'importe quel système de fichiers non protégé en écriture, les systèmes d'exploitation n'ont pas d'importance.

— Braiam

Autrement dit, tout ce qui est vulnérable rm -rf --no-preserve-root /est également vulnérable aux ransomwares.

— Ajedi32

@mikewthing Ce n'est pas nécessairement le cas. JavaScript Ransomware est maintenant une chose. Il est temps d'installer NoScript ou ScriptSafe.

— tjd

Réponses:

Pour qu'un tel logiciel s'exécute "avec succès" sur une machine Ubuntu, l'utilisateur devrait-il d'abord l'exécuter et donner le mot de passe sudo?

Non, je suppose que les données sont vos données personnelles et que "sudo" est nécessaire pour les fichiers système.

Si les fichiers des utilisateurs étaient déjà cryptés, cela protégerait-il contre cela?

Non. Les données sont des données. Le cryptage ne joue aucun rôle: le ransomware verrouille les données lui-même

Un programme rançongiciel, s'il est installé à son insu par un utilisateur (qui a également confirmé avec le mot de passe sudo), pourrait-il même prendre en otage vos données précryptées?

Oui. Ils ne pourraient pas VOIR les données mais ce n'était pas leur intention. Le chiffrement n'est pas non plus important: il verrouille votre "conteneur".

En général, dans quelle mesure Ubuntu est-il vulnérable aux rançongiciels de chiffrement et à quel point les actions d'un utilisateur doivent-elles être négligentes pour que ses données soient prises en otage?

Quelqu'un doit d'abord créer une situation où vous et beaucoup d'autres êtes prêts à télécharger et à installer leur logiciel. C'est un obstacle que même les rédacteurs de logiciels antivirus n'ont pas pu surmonter.

L'idée générale du ransomware est de cibler autant d'utilisateurs que possible dans les plus brefs délais.

Dès qu'un utilisateur Linux est ciblé et qu'il obtient ses données entachées, tout l'enfer se déchaînera et en quelques minutes, nous serons tous informés d'une manière ou d'une autre. Regardez ce qui s'est passé lorsque le bogue OpenSSL est apparu. En quelques minutes, tous les sites informatiques avaient une histoire à raconter. Idem avec le bug du noyau qui est apparu il y a 2 jours. Tout le monde a sauté dessus. Si cela se produit, je ne vois pas cela se produire pour plus de quelques utilisateurs. D'ici là, nous avons tous été informés ou, si possible, il y aura un correctif pour la méthode qu'ils ont utilisée (comme un trou dans le noyau ou dans un navigateur qu'ils ont exploité).

La plupart d'entre nous utilisent Ubuntu Software Center. Quelle est la probabilité que ce malware se retrouve dans Ubuntu Software Center? Ensuite, nous utilisons les AAE. Les informations pour ces PPA que nous obtenons à partir de sites comme omg.ubuntu.co.uk ou webupd8 ou à partir de canaux Ubuntu de confiance.

C'est également la différence entre Linux / Ubuntu et Windows: les utilisateurs de Windows sont invités à télécharger et à installer des logiciels à partir de n'importe quel site Web qu'ils peuvent trouver. Nous ne le faisons généralement pas. Ainsi, la quantité de conneries que vous pouvez télécharger pour Windows est plusieurs fois plus élevée que pour tout autre système d'exploitation. Rend Windows une cible plus facile.

— Rinzwind
source

Réponse très détaillée, très appréciée.

— Revetahw dit Réintégrer Monica le

> Quelqu'un doit d'abord créer une situation où vous et beaucoup d'autres êtes prêts à télécharger et à installer leur logiciel. => c'est le vecteur le plus courant, oui, mais un RCE est une autre possibilité. Cela pourrait être via votre navigateur ou tout autre service réseau (même un bug dans le module wifi?). Les ransomwares leur épargneraient simplement la peine de trouver un vuln d'élévation de privilèges.

— Bob

Je suis toujours étonné quand je vois un utilisateur de Windows installer un logiciel en tapant le nom dans google et en cliquant sur le premier lien sans me poser de questions sur la validité de la source (ce ne serait pas tous les utilisateurs de Windows, évidemment, mais au moins plusieurs que je savoir)

— njzk2

@Bob oui vrai. Voir le bug du noyau il y a 3 jours. Mais cela nécessite des compétences de codage approfondies, ce qui laisse les exécuteurs de code à l'écart. Je pense que l'ingénierie sociale serait un problème plus important que les RCE.

— Rinzwind

Pour qu'un tel logiciel s'exécute "avec succès" sur une machine Ubuntu, l'utilisateur devrait-il d'abord l'exécuter et donner le mot de passe sudo?

Exécutez-le, oui, bien sûr. Donnez le mot de passe sudo, non. Le mot de passe sudo est nécessaire pour modifier les fichiers système ou les paramètres. Cependant, le ransomware crypte les fichiers personnels de l'utilisateur, qui sont entièrement accessibles par l'utilisateur sans mot de passe. Le mot de passe sudo serait cependant nécessaire pour crypter les fichiers d'autres utilisateurs.

Si les fichiers des utilisateurs étaient déjà cryptés, cela protégerait-il contre cela?

Non. Le ransomware crypterait les fichiers cryptés, de sorte que lorsque vous essayez de les décrypter avec votre clé d'origine, le décryptage ne fonctionnerait pas. Sur l'image, vous verrouillez vos fichiers dans une boîte (dont vous avez la clé), et le ransomware verrouille votre boîte dans une boîte plus grande, dont vous n'avez pas la clé.

— fkraiem
source

Oui, car un utilisateur a toujours le contrôle total sur ses propres fichiers. Sans le mot de passe sudo, cependant, les dommages seront strictement limités au compte de cet utilisateur.

— fkraiem

Ne pourrais-je pas simplement supprimer les fichiers cryptés et les restaurer à partir de la sauvegarde?

— Jos

Vous pouvez toujours restaurer les fichiers à partir d'une sauvegarde, évidemment ...

— fkraiem

Ils ne chiffrent certainement pas l'intégralité du système de fichiers, dans ce cas, le système ne démarrerait plus et l'utilisateur n'aurait aucun moyen de payer. Ils chiffrent des fichiers individuels qui sont présumés importants pour l'utilisateur (documents, images, etc.). Si l'utilisateur a une sauvegarde, il peut en restaurer les fichiers, mais beaucoup de gens n'en ont pas.

— fkraiem

@TripeHound Cela dépend. Dans de nombreux cas, la sudo-autorisation est par pty / tty / terminal. De plus, ce serait toujours une bonne mesure d'effacer et de réinstaller avant de restaurer les sauvegardes pour vous assurer qu'il n'y a pas d'exécutables de ransomware cachés dans des emplacements aléatoires par utilisateur.

— nanofarad