Hvordan beskytte deg mot KillDisk Attack på Ubuntu

For en stund har det blitt antatt at ransomware sjelden påvirker maskiner som kjører Linux og til og med FreeBSD for den saks skyld. Dessverre har KillDisk ransomware nå angrepet en håndfull Linux-drevne maskiner, og det ser ut som at selv distribusjoner som hash ut rotkontoen som Ubuntu og dens forskjellige offisielle spinn kan være sårbare. Enkelte datavitenskapere har gitt uttrykk for at mange sikkerhetstrusler som påvirket Ubuntu på en eller annen måte kompromitterte noe av Unity-skrivebordet, men denne trusselen kan skade selv de som bruker KDE, Xfce4, Openbox eller til og med den helt virtuelle konsollbaserte Ubuntu Server.

Naturligvis gjelder det gode sunn fornuftregler for å bekjempe denne typen trussel. Ikke få tilgang til mistenkelige koblinger i en nettleser, og sørg for å utføre en malware-skanning på filer lastet ned fra Internett, så vel som de fra e-postvedlegg. Dette gjelder spesielt for kjørbar kode du har lastet ned, men programmer som kommer fra de offisielle arkivene mottar en digital signatur for å redusere denne trusselen. Du bør alltid være sikker på at du bruker en tekstredigerer til å lese innholdet i et skript før du kjører det. På toppen av disse tingene er det noen spesifikke skritt du kan ta for å beskytte systemet fra formet KillDIsk som angriper Ubuntu.

Metode 1: Hash ut rotkontoen

Ubuntu utviklere har gjort en bevisst beslutning om å hash ut roten kontoen, og mens dette ikke har vist seg helt i stand til å stoppe denne typen angrep, er det en av de viktigste årsakene til at det har vært sakte å skade systemer. Det er mulig å gjenopprette tilgangen til rotkontoen, som er vanlig for de som bruker maskinene sine som servere, men dette har alvorlige konsekvenser når det gjelder sikkerhet.

Noen brukere kan ha utstedt sudo passwd og deretter gitt root-kontoen et passord de faktisk kunne bruke til å logge inn fra både grafiske og virtuelle konsoller. For å deaktivere denne funksjonaliteten umiddelbart, bruk sudo passwd -l root for å eliminere root-logoen og sett Ubuntu eller spinnen du bruker tilbake til der den var opprinnelig. Når du blir bedt om passordet ditt, må du faktisk skrive inn brukerpassordet ditt og ikke det spesielle du ga til rotkontoen, forutsatt at du jobbet fra en brukerlogg.

Den beste metoden innebærer selvsagt aldri å ha brukt sudo passwd til å begynne med. En sikrere måte å håndtere problemet på er å bruke sudo bash for å få en rotkonto. Du vil bli bedt om passordet ditt, som igjen vil være ditt brukernavn og ikke root-passord, forutsatt at du bare har en brukerkonto på din Ubuntu-maskin. Husk at du også kan få en rotprompt for andre skall ved å bruke sudo etterfulgt av navnet på nevnte skall. For eksempel skaper sudo tclsh et rotskall basert på en enkel Tcl-tolk.

Pass på å skrive exit for å komme seg ut av et skall når du er ferdig med administrasjonsoppgaver, fordi et rotenbrukerskall kan slette en fil på systemet uavhengig av eierskap. Hvis du bruker et skall som tclsh, og spørringen din er rett og slett et% tegn, prøv deretter whoami som en kommando ved spørringen. Det burde fortelle deg nøyaktig hvem du er logget inn som.

PRO TIPS: Hvis problemet er med datamaskinen eller en bærbar PC / notatbok, bør du prøve å bruke Reimage Plus-programvaren som kan skanne arkiver og erstatte skadede og manglende filer. Dette fungerer i de fleste tilfeller der problemet er oppstått på grunn av systemkorrupsjon. Du kan laste ned Reimage Plus ved å klikke her

Du kan også alltid bruke sudo rbash for å få tilgang til et begrenset skall som ikke har så mange funksjoner, og gir dermed mindre sjanse til å forårsake skade. Husk at disse fungerer like godt fra en grafisk terminal du åpner i skrivebordsmiljøet, et grafisk terminalmiljø i fullskjerm eller en av de seks virtuelle konsollene som Linux gjør tilgjengelig for deg. Systemet kan ikke skille mellom disse forskjellige alternativene, noe som betyr at du kan gjøre disse endringene fra standard Ubuntu, noen av spinnene som Lubuntu eller Kubuntu eller en installasjon av Ubuntu Server uten grafiske skrivebordspakker.

Metode 2: Sjekk om rotkontoen har et ubrukbart passord

Kjør sudo passwd -S root for å sjekke om root-kontoen har et ubrukbart passord når som helst. Hvis det gjør det, vil det lese rot L i den returnerte utgangen, så vel som noen opplysninger om datoen og klokkeslettet root-passordet ble stengt. Dette tilsvarer vanligvis når du installerte Ubuntu, og kan sikkert ignoreres. Hvis den i stedet leser rot P, har rotkontoen et gyldig passord, og du må låse det ut med trinnene i metode 1.

Hvis utgangen av dette programmet leser NP, må du enda mer imperativt å kjøre sudo passwd -l root for å fikse problemet, siden dette indikerer at det ikke er et rotpassord i det hele tatt, og alle som inkluderer et skript, kan få et roteskall fra en virtuell konsoll.

Metode 3: Identifisere et kompromissystem fra GRUB

Dette er skummelt, og årsaken til at du alltid trenger å lage sikkerhetskopier av dine viktigste filer. Når du laster inn GNU GRUB-menyen, vanligvis ved å trykke Esc når du starter systemet, bør du se flere forskjellige oppstartsalternativer. Men hvis du ser en melding stavet ut hvor de ville være, kan du se på en kompromittert maskin.

Testmaskiner kompromittert med KillDisk-programmet, leser noe som:

* Vi beklager, men kryptering

av dataene dine har blitt fullført,

slik at du kan miste dataene dine eller

Meldingen vil fortsette å instruere deg om å sende penger til en bestemt adresse. Du bør reformatere denne maskinen og installere Linux på den. Ikke svar på noen av KillDisks trusler. Ikke bare hjelper dette enkeltpersoner som kjører slike ordninger, men også Linux-versjonen lagrer ikke krypteringsnøkkelen riktig på grunn av en feil. Dette betyr at det ikke er noen vei rundt det, selv om du skulle gi inn. Bare sørg for å ha rene sikkerhetskopier, og du trenger ikke å bekymre deg for å være en posisjon som dette.