So schützen Sie sich vor KillDisk-Angriffen unter Ubuntu



Versuchen Sie Unser Instrument, Um Probleme Zu Beseitigen

Seit geraumer Zeit wird angenommen, dass Ransomware Computer mit Linux und sogar FreeBSD nur selten betrifft. Leider hat die KillDisk-Ransomware inzwischen eine Handvoll Linux-Computer angegriffen, und es scheint, dass sogar Distributionen, die das Root-Konto wie Ubuntu und seine verschiedenen offiziellen Spins aus dem Verkehr ziehen, anfällig sein könnten. Einige Informatiker haben die Meinung geäußert, dass viele Sicherheitsbedrohungen, die Ubuntu beeinflusst haben, einen Aspekt der Unity-Desktop-Oberfläche irgendwie gefährdet haben. Diese Bedrohung kann jedoch auch denjenigen schaden, die KDE, Xfce4, Openbox oder sogar den vollständig virtuellen konsolenbasierten Ubuntu-Server verwenden.



Natürlich gelten für die Bekämpfung dieser Art von Bedrohung die Regeln des gesunden Menschenverstandes. Greifen Sie in einem Browser nicht auf verdächtige Links zu und führen Sie einen Malware-Scan für Dateien durch, die aus dem Internet heruntergeladen wurden, sowie für Dateien aus E-Mail-Anhängen. Dies gilt insbesondere für ausführbaren Code, den Sie heruntergeladen haben. Programme, die aus den offiziellen Repositorys stammen, erhalten jedoch eine digitale Signatur, um diese Bedrohung zu verringern. Sie sollten immer sicherstellen, dass Sie einen Texteditor verwenden, um den Inhalt eines Skripts zu lesen, bevor Sie es ausführen. Darüber hinaus können Sie einige spezifische Schritte unternehmen, um Ihr System vor der Form von KillDIsk zu schützen, die Ubuntu angreift.



Methode 1: Hash aus dem Root-Konto

Die Entwickler von Ubuntu haben sich bewusst dafür entschieden, das Root-Konto zu löschen. Dies hat sich zwar nicht als vollständig in der Lage erwiesen, diese Art von Angriff zu stoppen, ist jedoch einer der Hauptgründe dafür, dass Systeme nur langsam beschädigt werden. Es ist möglich, den Zugriff auf das Root-Konto wiederherzustellen, was für diejenigen üblich ist, die ihre Computer als Server verwenden. Dies hat jedoch schwerwiegende Auswirkungen auf die Sicherheit.



Einige Benutzer haben möglicherweise sudo passwd ausgegeben und dem Root-Konto dann ein Kennwort zugewiesen, mit dem sie sich tatsächlich sowohl von grafischen als auch von virtuellen Konsolen aus anmelden können. Um diese Funktionalität sofort zu deaktivieren, verwenden Sie sudo passwd -l root, um die Root-Anmeldung zu entfernen und Ubuntu oder den von Ihnen verwendeten Spin wieder an den ursprünglichen Ort zu bringen. Wenn Sie nach Ihrem Passwort gefragt werden, müssen Sie tatsächlich Ihr Benutzerkennwort eingeben und nicht das spezielle, das Sie dem Root-Konto gegeben haben, vorausgesetzt, Sie haben über eine Benutzeranmeldung gearbeitet.

Die beste Methode besteht natürlich darin, zunächst nie sudo passwd verwendet zu haben. Ein sicherer Weg, um das Problem zu lösen, ist die Verwendung von sudo bash, um ein Root-Konto zu erhalten. Sie werden nach Ihrem Passwort gefragt, das wiederum Ihr Benutzer und nicht das Root-Passwort ist, vorausgesetzt, Sie haben nur ein Benutzerkonto auf Ihrem Ubuntu-Computer. Beachten Sie, dass Sie mit sudo und dem Namen der Shell auch eine Root-Eingabeaufforderung für andere Shells erhalten können. Zum Beispiel erstellt sudo tclsh eine Root-Shell, die auf einem einfachen Tcl-Interpreter basiert.

Stellen Sie sicher, dass Sie exit eingeben, um eine Shell zu verlassen, sobald Sie mit Ihren Verwaltungsaufgaben fertig sind, da eine Root-Benutzer-Shell jede Datei auf dem System unabhängig vom Besitz löschen kann. Wenn Sie eine Shell wie tclsh verwenden und Ihre Eingabeaufforderung lediglich ein% -Zeichen ist, versuchen Sie whoami als Befehl an der Eingabeaufforderung. Es sollte Ihnen genau sagen, als wen Sie angemeldet sind.



Sie können jederzeit auch sudo rbash verwenden, um auf eine eingeschränkte Shell zuzugreifen, die nicht über so viele Funktionen verfügt und daher weniger Chancen bietet, Schaden zu verursachen. Beachten Sie, dass diese Funktionen von einem grafischen Terminal aus, das Sie in Ihrer Desktop-Umgebung öffnen, einer grafischen Vollbild-Terminalumgebung oder einer der sechs virtuellen Konsolen, die Linux Ihnen zur Verfügung stellt, gleichermaßen gut funktionieren. Das System kann nicht zwischen diesen verschiedenen Optionen unterscheiden. Dies bedeutet, dass Sie diese Änderungen gegenüber Standard-Ubuntu, Spins wie Lubuntu oder Kubuntu oder einer Installation von Ubuntu Server ohne grafische Desktop-Pakete vornehmen können.

Methode 2: Überprüfen Sie, ob das Root-Konto ein nicht verwendbares Kennwort hat

Führen Sie sudo passwd -S root aus, um zu überprüfen, ob das Root-Konto zu irgendeinem Zeitpunkt ein unbrauchbares Kennwort hat. Wenn dies der Fall ist, liest es root L in der zurückgegebenen Ausgabe sowie einige Informationen zu Datum und Uhrzeit, zu der das root-Passwort geschlossen wurde. Dies entspricht im Allgemeinen der Installation von Ubuntu und kann ignoriert werden. Wenn stattdessen root P gelesen wird, verfügt das root-Konto über ein gültiges Kennwort, und Sie müssen es mit den Schritten in Methode 1 sperren.

Wenn die Ausgabe dieses Programms NP lautet, müssen Sie noch wichtiger sudo passwd -l root ausführen, um das Problem zu beheben, da dies darauf hinweist, dass überhaupt kein Root-Passwort vorhanden ist und jeder, der ein Skript enthält, eine Root-Shell erhalten könnte von einer virtuellen Konsole.

Methode 3: Identifizieren eines kompromittierten Systems aus GRUB

Dies ist der beängstigende Teil und der Grund, warum Sie immer Backups Ihrer wichtigsten Dateien erstellen müssen. Wenn Sie das GNU GRUB-Menü laden, in der Regel durch Drücken von Esc beim Booten Ihres Systems, sollten mehrere verschiedene Startoptionen angezeigt werden. Wenn Sie jedoch eine Meldung sehen, in der angegeben ist, wo sie sich befinden würden, handelt es sich möglicherweise um einen kompromittierten Computer.

Mit dem KillDisk-Programm kompromittierte Testmaschinen lauten wie folgt:

* Es tut uns so leid, aber die Verschlüsselung

Ihrer Daten wurde erfolgreich abgeschlossen,

so können Sie Ihre Daten verlieren oder

In der Nachricht werden Sie angewiesen, Geld an eine bestimmte Adresse zu senden. Sie sollten diesen Computer neu formatieren und Linux darauf neu installieren. Antworten Sie nicht auf die Bedrohungen von KillDisk. Dies hilft nicht nur den Personen, die diese Art von Schemata ausführen, sondern auch, dass das Linux-Versionsprogramm den Verschlüsselungsschlüssel aufgrund eines Fehlers nicht richtig speichert. Dies bedeutet, dass es keinen Weg daran vorbei führt, selbst wenn Sie nachgeben. Stellen Sie einfach sicher, dass Sie über saubere Backups verfügen, und Sie müssen sich keine Sorgen machen, dass Sie eine solche Position einnehmen.

4 Minuten gelesen