Under ganska lång tid har man trott att ransomware sällan påverkar maskiner som kör Linux och till och med FreeBSD för den delen. Tyvärr har KillDisk-ransomware nu attackerat en handfull Linux-drivna maskiner, och det verkar som att även distributioner som har tagit bort rotkontot som Ubuntu och dess olika officiella snurr kan vara sårbara. Vissa datavetare har uttryckt åsikten att många säkerhetshot som påverkade Ubuntu på något sätt äventyrade någon aspekt av Unity-skrivbordets gränssnitt, men detta hot kan skada även de som använder KDE, Xfce4, Openbox eller till och med den helt virtuella konsolbaserade Ubuntu Server.
Naturligtvis gäller de goda sunt förnuftreglerna för att bekämpa denna typ av hot. Få inte åtkomst till misstänkta länkar i en webbläsare och se till att skanna skadlig programvara på filer som laddats ner från Internet såväl som från e-postbilagor. Detta gäller särskilt för alla körbara koder du har laddat ner, även om program som kommer från de officiella förvaren får en digital signatur för att minska detta hot. Du bör alltid se till att använda en textredigerare för att läsa innehållet i alla skript innan du kör det. Utöver dessa saker finns det några specifika steg du kan ta för att skydda ditt system från den form av KillDIsk som attackerar Ubuntu.
Metod 1: Hash ut rotkontot
Ubuntus utvecklare fattade ett medvetet beslut att hasha ut rotkontot, och även om detta inte har visat sig vara helt kapabelt att stoppa denna typ av attack, är det en av de främsta anledningarna till att det har varit långsamt att skada system. Det är möjligt att återställa åtkomst till root-kontot, vilket är vanligt för dem som använder sina maskiner som servrar, men det har allvarliga konsekvenser när det gäller säkerhet.
Vissa användare kan ha utfärdat sudo passwd och sedan ge root-kontot ett lösenord som de faktiskt kan använda för att logga in från både grafiska och virtuella konsoler. För att omedelbart inaktivera denna funktionalitet, använd sudo passwd -l root för att eliminera root-inloggningen och sätt Ubuntu eller snurret du använder tillbaka till där det var ursprungligen. När du blir ombedd att ange ditt lösenord måste du ange ditt användarlösenord och inte det speciella som du gav till root-kontot, förutsatt att du arbetade från en användarinloggning.
Naturligtvis innebär den bästa metoden att aldrig ha använt sudo passwd till att börja med. Ett säkrare sätt att hantera problemet är att använda sudo bash för att få ett root-konto. Du kommer att bli ombedd om ditt lösenord, vilket återigen skulle vara din användare och inte root-lösenordet, förutsatt att du bara har ett användarkonto på din Ubuntu-maskin. Tänk på att du också kan få en root-prompt för andra skal genom att använda sudo följt av namnet på nämnda skal. Till exempel skapar sudo tclsh ett rotskal baserat på en enkel Tcl-tolk.
Se till att skriva exit för att komma ur ett skal när du är klar med dina administrationsuppgifter, eftersom ett root-användarskal kan ta bort alla filer i systemet oavsett ägande. Om du använder ett skal som tclsh och din uppmaning är helt enkelt ett% -tecken, försök sedan whoami som ett kommando vid uppmaningen. Det ska berätta exakt vem du är inloggad som.
Du kan alltid använda sudo rbash också för att komma åt ett begränsat skal som inte har så många funktioner och därför ger mindre chans att orsaka skada. Tänk på att dessa fungerar lika bra från en grafisk terminal som du öppnar i din skrivbordsmiljö, en grafisk terminalmiljö i helskärmsläge eller en av de sex virtuella konsoler som Linux gör dig tillgänglig. Systemet kan inte skilja mellan dessa olika alternativ, vilket innebär att du kommer att kunna göra dessa ändringar från standard Ubuntu, någon av snurr som Lubuntu eller Kubuntu eller en installation av Ubuntu Server utan grafiska skrivbordspaket.
Metod 2: Kontrollera om root-kontot har ett oanvändbart lösenord
Kör sudo passwd -S root för att kontrollera om root-kontot har ett oanvändbart lösenord när som helst. Om det gör det kommer det att läsa rot L i den returnerade utgången, samt lite information om datum och tid som rotlösenordet stängdes. Detta motsvarar i allmänhet när du installerade Ubuntu och kan säkert ignoreras. Om det istället läser root P, har root-kontot ett giltigt lösenord och du måste spärra det med stegen i metod 1.
Om utdata från detta program läser NP, behöver du ännu mer nödvändigt att köra sudo passwd -l root för att åtgärda problemet, eftersom detta indikerar att det inte finns ett root-lösenord alls och alla som inkluderar ett skript kan få ett root-skal från en virtuell konsol.
Metod 3: Identifiera ett komprometterat system från GRUB
Det här är den läskiga delen och anledningen till att du alltid behöver säkerhetskopiera dina viktigaste filer. När du laddar GNU GRUB-menyn, vanligtvis genom att trycka på Esc när du startar ditt system, bör du se flera olika startalternativ. Men om du ser ett meddelande stavat var de skulle vara, kan du titta på en komprometterad maskin.
Testmaskiner som komprometterats med KillDisk-programmet läser ungefär så här:
* Vi är så ledsna, men krypteringen
av dina uppgifter har slutförts,
så att du kan förlora dina data eller
Meddelandet fortsätter och instruerar dig att skicka pengar till en specifik adress. Du bör formatera om den här maskinen och installera om Linux på den. Svara inte på något av KillDisks hot. Inte bara hjälper detta bara individer som kör dessa typer av system, men också Linux-versionsprogrammet lagrar faktiskt inte krypteringsnyckeln ordentligt på grund av ett fel. Det betyder att det inte går någon väg, även om du skulle ge efter. Se bara till att du har rena säkerhetskopior så att du inte behöver oroa dig för att vara en sådan position.
4 minuter läst
