Un antivirus peut-il me protéger contre KillDisk, un malware pour Linux?

19

Un de mes parents m'a récemment envoyé un e-mail. Il a récemment découvert ce titre alarmant du fournisseur d'antivirus ESET:

KillDisk cible désormais Linux: demande une rançon de 250 000 $, mais ne peut pas déchiffrer

L'e-mail continue en décrivant un logiciel qui crypte le contenu du disque et demande une rançon.

Mon parent est alarmé et pense qu’un antivirus est certainement nécessaire.

Je suis convaincu qu'un anti-virus n'est pas nécessaire sur Ubuntu. Au contraire, je pense que la meilleure protection pour un utilisateur Ubuntu est d'installer rapidement les mises à jour de sécurité, de garder des sauvegardes régulières et d'installer uniquement des logiciels provenant de sources fiables comme Ubuntu Software Center. Ce conseil est-il désormais obsolète avec l'avènement de KillDisk?

security malware antivirus Flimm
la source
2
Ne t'inquiète pas. Ils ne demandent que beaucoup d'argent parce qu'ils ciblent des institutions qui peuvent se le permettre. Revenez dans un an ou deux lorsque la technique d'exploitation aura été suffisamment standardisée pour une large diffusion et un faible rendement par infection de ≤ 1 BTC, comme nous le constatons avec d'autres logiciels malveillants. Si vous avez de la chance, cela n'arrivera jamais aux installations de bureau Linux car il est plus économique pour les criminels de se lancer dans Windows et Android. ; -] Ayez juste une sauvegarde récente hors ligne à portée de main comme vous le devriez de toute façon.
David Foerster
13
En regardant simplement le code de cet article, une énorme faiblesse se dégage - les auteurs utilisent srand(time)et randgénèrent les clés! Cela les rend trivialement devinables (en estimant le moment de l'attaque du virus, ou en essayant simplement toutes les possibilités ~ 2 ^ 24 de l'année dernière), ce qui signifie que vous ne devriez pas avoir grand-chose à craindre de cette variante particulière du virus.
nneonneo
@nneonneo Pour être clair, les auteurs du malware ont une énorme faiblesse, pas les auteurs de l'article.
Flimm
1
Faiblesse de la cryptographie également mentionnée ici pour plus de référence: bleepingcomputer.com/news/security/…
John U

Réponses:

20

L'e-mail continue en décrivant un logiciel qui crypte le contenu du disque et demande une rançon.

Comment ça fait ça? (bien sûr l'article ne le mentionne pas ...). Depuis le lien ...

La routine de chiffrement principale parcourt récursivement les dossiers suivants dans le répertoire racine jusqu'à 17 sous-répertoires en profondeur:

/ boot / bin / sbin / lib / security / lib64 / security / usr / local / etc / etc / mnt / share / media / home / usr / tmp / opt / var / root

Selon les chercheurs, «les fichiers de la victime sont chiffrés à l'aide de Triple-DES appliqué à des blocs de fichiers de 4096 octets» et «chaque fichier est chiffré à l'aide d'un ensemble différent de clés de chiffrement 64 bits».

Nous devons savoir comment ils croient pouvoir contourner le mot de passe administrateur ...

  • Faut-il un mot de passe sudo?
  • Ou tente-t-il de forcer brutalement le mot de passe sudo? Si oui, quelle est la qualité de votre mot de passe?
  • Faut-il que vous téléchargiez ce logiciel malveillant à partir du courrier et l'exécutiez? (...) Si oui ... ne pas :-P

Meilleure méthode pour contrer cela: créez des sauvegardes régulières et conservez plus d'une sauvegarde de tout ce qui est important pour vous. Il est toujours possible de formater un disque, de le réinstaller et de restaurer une sauvegarde propre.

Je suis convaincu qu'un anti-virus n'est pas nécessaire sur Ubuntu.

Moi aussi! Mais un virus n'est qu'une petite partie de tous les logiciels malveillants. Vous avez également des rootkits et des crapwares comme ce que vous décrivez ci-dessus.

Ce conseil est-il désormais obsolète avec l'avènement de KillDisk?

Non! Ce conseil est le meilleur que vous puissiez obtenir. Pour le moment, nous pouvons considérer Ubuntu Software Center exempt de logiciels malveillants. Cet article et les articles similaires que j'ai trouvés manquent tous d'un bit d'information: comment crypte-t-il réellement nos disques.

Rinzwind
la source
11
Si le virus peut simplement crypter le répertoire personnel de l'utilisateur, ce qui est finalement ce qui compte vraiment pour l'utilisateur .
Jupotter
Consultez l'article. il répertorie clairement les répertoires en dehors de la maison. Et cela suggère également que grub est remplacé. Et encore: pas un virus. Un virus implique la propagation. Malware. Oui.
Rinzwind
1
@Jupotter, vous devez toujours exécuter le code. Contrairement à Microsoft, Linux n'exécute pas automatiquement les pièces jointes aux e-mails et autres.
Wildcard
@Wildcard Est-ce que KillDisk exploite tout type de vulnérabilités connues dans les applications pour l'exécution de code ou nécessite-t-il réellement un utilisateur pour l'exécuter?
tangrs
1
@Wildcard: Pas entièrement vrai pour aucun des deux. Ni Linux ni Windows n'exécutent explicitement les pièces jointes des e-mails. Cependant, les rendus HTML et les décodeurs d'images ont tendance à avoir des vulnérabilités d'exécution de code arbitraire qu'un attaquant pourrait transformer en une exécution de code à distance avec un e-mail. Dans le passé, sous Windows, le problème était généralement pire que sous Linux car le moteur de rendu HTML était câblé dans le système d'exploitation. De plus, les utilisateurs de Windows sont mieux formés pour cliquer et exécuter manuellement toutes les pièces jointes aux e-mails et les fichiers téléchargés. Sous Linux, ce n'est pas si simple.
David Foerster
4

Comme il va de soi, Linux n'est pas entièrement sécurisé, mais le besoin d'un logiciel antivirus ne devrait pas survenir étant donné que les correctifs de sécurité sont téléchargés régulièrement. De plus, la rançon KillDisk a fait surface récemment et est connue pour ne cibler que les organisations commerciales et les sociétés hébergeant des serveurs. Les utilisateurs de Home Linux devraient être en sécurité dès maintenant. Plus important encore, tous les utilisateurs de Linux doivent savoir à quel point les privilèges superutilisateur / root peuvent faire la différence, si des autorisations sont accordées à des programmes malveillants inconnus (les résultats peuvent être complètement indésirables ou même dévastateurs). Bien sûr, le maintien de sauvegardes régulières ne devrait pas être un problème pour les utilisateurs réguliers.

50calrevolver
la source
Comment savez-vous que KillDisk ne cible que les entreprises? Pourquoi pas les particuliers aussi?
Flimm
Dans le passé, KillDisk a ciblé des organisations commerciales et des entreprises. Pourquoi une personne malveillante ciblerait-elle un utilisateur à domicile? Les utilisateurs réguliers de Linux à la maison peuvent facilement créer des sauvegardes et les restaurer et ne paieraient en aucun cas de telles rançons. Maintenant, les grandes entreprises sont confrontées à des problèmes plus importants et prennent plus de temps et de ressources lors de la création de sauvegardes et si, par hasard, elles dépendent des données effacées, elles devraient restaurer les données pour éviter les allégations criminelles des clients et être l'attaque mortelle que c'est, seule option facile serait de payer la rançon.
50calrevolver
En outre, de nombreux utilisateurs à domicile choisiront de se lamenter pendant une journée ou de le faire, puis continueront leur vie au lieu de payer l'énorme rançon. KillDisk, s'il s'agit en fait de ce que les sites prétendent être, est davantage un rançongiciel d'attaque de haut niveau visant à extorquer de l'argent et non pas une attaque amusante créant une anarchie. Si cela se produit, les correctifs de sécurité vont sûrement pleuvoir pour toutes les distributions. Les grandes entreprises ne peuvent pas résister à la perte de données et les attaquants les ciblent donc sur les utilisateurs à domicile. De plus, les risques d'infection sont plus élevés dans les grandes entreprises en raison de plusieurs réseaux connectés.
50calrevolver
4

Cette réponse supposera que le malware est en fait un cheval de Troie, c'est-à-dire qu'il tourne autour de l'utilisateur exécutant activement (peut-être en tant que root) quelque chose de suspect.

Il y a plusieurs raisons pour lesquelles Linux serait plus résistant aux virus que Windows. Aucun d'eux n'est que Linux est intrinsèquement plus sûr que Windows. S'il est vrai que les distributions Linux ont tendance à protéger les fichiers du système d'exploitation beaucoup mieux que Windows (bien que cela soit plus dû au fait que Windows doit être rétrocompatible avec les logiciels plus anciens que toute différence inhérente), en tout cas cela ne vous protège pas d'attaques contre vos fichiers personnels, ou de faire partie d'un botnet, qui sont les deux choses qui font fureur dans les virus de nos jours.

Non, les principales raisons sont:

  1. Base d'utilisateurs beaucoup plus petite pour d'éventuelles attaques. Bien qu'il y ait eu beaucoup d'attaques visant des serveurs Linux , celles-ci ne sont pas étonnamment pertinentes ici, car elles ont tendance à exploiter des boîtes qui sont délibérément laissées exposées à Internet, et donc les moyens d'exploitation sont totalement différents. Linux sur le bureau est une cible si petite qu'elle ne vaut généralement pas vraiment le coup.

  2. Les distributions Linux ont un sens beaucoup plus fort de l'installation de logiciels à partir de sources fiables. Vous n'avez pas à vous soucier que Sourceforge injecte des logiciels malveillants dans vos installateurs, ou que le site Web d'un ancien projet ait été piraté et que les téléchargements soient remplacés par des logiciels malveillants, car ce n'est pas l'endroit standard pour obtenir des logiciels.

Donc, ce dernier est très important. Si vous avez l'habitude d'utiliser Ubuntu comme vous utiliseriez Windows - en téléchargeant des logiciels au hasard à partir du Web, à partir de sources aléatoires et en essayant de les installer correctement dans votre distribution - vous allez avoir du mal. Vous devriez essayer d'installer autant de choses que possible à partir des référentiels de logiciels d'Ubuntu, qui sont beaucoup plus soigneusement vérifiés et très peu susceptibles de contenir des logiciels malveillants. Si vous avez besoin de télécharger des logiciels à partir de sources externes, vous devez faire preuve d'autant de soin et d'attention que le ferait un utilisateur averti de Windows - assurez-vous d'avoir un moyen raisonnable de faire confiance à la source, et ne vous contentez pas d'exécuter aveuglément des commandes trouvés sur Internet sans comprendre ce qu'ils font! Méfiez-vous particulièrement de tout ce qui nécessite un root (sudo), mais gardez à l'esprit que même les choses sans racine peuvent endommager les choses importantes.

Muzer
la source
2

Tout en étant d'accord avec tout le monde, je veux simplement souligner qu'il y a une erreur fondamentale flottant ici: l'hypothèse qu'un anti-virus ne peut qu'améliorer la sécurité (et donc la question étant seulement "ai-je besoin d'un anti-virus ou est-ce inutile ").

Non seulement un anti-virus n'est probablement pas nécessaire dans aucun système GNU / Linux actuel, mais il est très probable que tout anti-virus que vous trouverez (et en particulier celui qui est annoncé à haute voix) nuira à la sécurité (soit directement en ayant des défauts sinon des portes dérobées, ou indirectement en vous encourageant à être plus bâclé sur la sécurité car vous pensez que vous êtes protégé par votre anti-virus).

Stefan
la source
C'est un très bon point. Certaines preuves seraient les bienvenues et mériteraient mon vote positif.
Flimm
1

Je dirais que oui, vous avez besoin d'un antivirus quelconque. Tous ceux qui disent que "Linux (/ Ubuntu) est sauvegardé contre les virus" devraient lire ceci: http://www.geekzone.co.nz/foobar/6229 Les exemples de l'article sont pour Gnome / KDE, mais ce n'est pas ce que importe: c'est très possible, cela fonctionnerait juste un peu différemment sur Ubuntu.

Oui, il vous sera beaucoup plus difficile d'obtenir un virus au cas où vous feriez toutes les mises à jour, téléchargez simplement à partir de référentiels de confiance, etc. Mais vous n'obtiendrez pas vraiment protégé contre les virus. Bien sûr, vous n'êtes pas non plus complètement sauvegardé avec un antivirus. Mais il vous protège même sur une autre couche, ce qui n'est jamais une mauvaise chose. Peut-être y a-t-il un appareil infecté sur votre réseau? En outre, tout le monde fait des erreurs, navigue sur le mauvais site Web avec JavaScript activé, ou autre chose.

Et les ransomwares en général n'ont même pas besoin d'autorisations spéciales pour être exécutés: comme l'a souligné @Jupotter, il existe déjà de nombreuses possibilités de dommages s'il dispose d'autorisations utilisateur par défaut.

Namnodorel
la source
1
C'est en fait faux. Le logiciel antivirus est un modèle de sécurité inversé. Il est très clair que vous venez du monde Windows, également connu sous le nom de monde "la sécurité est une réflexion après coup". Voir la page que je viens de relier.
Wildcard
1
Avez-vous une raison particulière de vous attendre à ce qu'un programme antivirus protège contre ces menaces? "Comment écrire un virus Linux" sonne comme chaque virus sera légèrement différent et probablement pas très répandu, donc non détecté par l'antivirus.
jpa
@Wildcard, jpa L'article que j'ai lié dans ma réponse aborde exactement l'argumentation de votre article. Linux / Ubuntu est tout aussi vulnérable contre la stupidité de l'utilisateur et les "trucs de commodité". Un antivirus n'est pas seulement là pour se protéger contre les bogues dans un système qui n'ont pas déjà été corrigés, c'est aussi quelque chose qui a) Peut détecter les virus connus / connus existants b) Analyser les fichiers pour les modèles qui sont dangereux, et c) Rester au moins un peu contre la bêtise en avertissant l'utilisateur des fichiers malveillants qu'ils téléchargent.
Namnodorel
2
"Linux / Ubuntu est tout aussi vulnérable contre la stupidité de l'utilisateur et les" trucs de commodité "." Bien sûr. Si on vous dit d'exécuter un logiciel sur votre machine et que c'est un virus que vous avez vissé vous-même (et volontiers). Personne ne vous en protégera. MAIS ... un virus sauvage et infectant plus de 2 machines de différentes personnes ne se produira PAS. Nous n'exécutons pas tous des logiciels malveillants. Notre système ne nous permet pas non plus sans notre consentement. Il y a la grande différence: notre système était multi-utilisateurs depuis le début, donc a une approche différente de la sécurité. Windows ne l'était pas.
Rinzwind
1
Résumé: "L'ingénierie sociale peut amener des gens ignorants à exécuter du code destructeur." Ce n'est pas un virus. Et oui, j'ai également lu le suivi. Il y a un article plus complet qui aborde tous ces points. Un court extrait: "... la communauté Linux ne verrait pas de réelle distinction entre les novices qui (en tant que root) infectent leurs systèmes, et ceux qui tapent accidentellement une variation sur" rm -rf / "en étant connecté en tant que root: les deux sont un résultat de l'inexpérience et du manque de prudence. Dans les deux cas, l'éducation, l'attention et l'expérience sont un remède efficace à 100%. "
Wildcard
-1

oui, un antivirus vous protégera contre KillDisk, les logiciels malveillants et vous aidera également à supprimer les mouches indésirables de votre ordinateur.

Zack Smith
la source