Wie man sich vor KillDisk Angriff auf Ubuntu schützt
Seit geraumer Zeit wird angenommen, dass Ransomware selten Maschinen betrifft, auf denen Linux und sogar FreeBSD läuft. Unglücklicherweise hat die KillDisk-Ransomware jetzt eine Handvoll Linux-Maschinen angegriffen und es scheint, als könnten sogar Distributionen, die den Root-Account wie Ubuntu und seine verschiedenen offiziellen Spins aushacken, anfällig sein. Einige Computerwissenschaftler sind der Meinung, dass viele Sicherheitsbedrohungen, die Ubuntu beeinflusst haben, einige Aspekte der Desktop-Oberfläche von Unity beeinträchtigt haben, aber diese Bedrohung kann sogar KDE, Xfce4, Openbox oder sogar den vollständig virtuellen konsolenbasierten Ubuntu Server beschädigen.
Natürlich gelten die guten Regeln des gesunden Menschenverstandes, um diese Art von Bedrohung zu bekämpfen. Greifen Sie nicht auf verdächtige Links in einem Browser zu und stellen Sie sicher, dass ein Malware-Scan für Dateien durchgeführt wird, die aus dem Internet heruntergeladen wurden, sowie aus E-Mail-Anhängen. Dies gilt insbesondere für jeden ausführbaren Code, den Sie heruntergeladen haben. Programme, die aus den offiziellen Repositories stammen, erhalten jedoch eine digitale Signatur, um diese Bedrohung zu reduzieren. Sie sollten immer sicherstellen, einen Texteditor zu verwenden, um den Inhalt eines Skripts zu lesen, bevor Sie es ausführen. Zusätzlich zu diesen Dingen gibt es ein paar spezielle Schritte, die Sie ergreifen können, um Ihr System vor KillDIsk zu schützen, das Ubuntu angreift.
Methode 1: Hash out das root-Konto
Die Entwickler von Ubuntu haben eine bewusste Entscheidung getroffen, den root-Account auszuhacken, und obwohl dies nicht in der Lage war, diese Art von Angriffen vollständig zu stoppen, ist dies einer der Hauptgründe, warum es Systeme nur langsam schädigte. Es ist möglich, den Zugriff auf das root-Konto wiederherzustellen, was für diejenigen, die ihre Maschinen als Server verwenden, üblich ist, aber dies hat ernste Konsequenzen in Bezug auf die Sicherheit.
Einige Benutzer haben möglicherweise sudo passwd ausgegeben und dann dem root-Konto ein Kennwort zugewiesen, mit dem sie sich tatsächlich von grafischen und virtuellen Konsolen aus anmelden können. Um diese Funktion sofort zu deaktivieren, verwenden Sie sudo passwd -l root, um die root-Anmeldung zu löschen und Ubuntu oder die von Ihnen verwendete Drehung dorthin zu setzen, wo sie ursprünglich war. Wenn Sie nach Ihrem Passwort gefragt werden, müssen Sie tatsächlich Ihr Benutzerpasswort und nicht das spezielle Passwort eingeben, das Sie dem root-Konto gegeben haben, vorausgesetzt, Sie arbeiten mit einem Benutzer-Login.
Natürlich besteht die beste Methode darin, sudo passwd zu Beginn nie benutzt zu haben. Eine sicherere Möglichkeit, das Problem zu lösen, ist die Verwendung von sudo bash, um ein root-Konto zu erhalten. Sie werden nach Ihrem Passwort gefragt, das wiederum Ihr Benutzer und nicht das root-Passwort wäre, vorausgesetzt, Sie haben nur einen Benutzeraccount auf Ihrem Ubuntu-Rechner. Denken Sie daran, dass Sie auch eine Root-Eingabeaufforderung für andere Shells erhalten könnten, indem Sie sudo gefolgt von dem Namen der Shell verwenden. Zum Beispiel erstellt sudo tclsh eine root-Shell, die auf einem einfachen Tcl-Interpreter basiert.
Geben Sie exit ein, um die Shell zu verlassen, sobald Sie Ihre Verwaltungsaufgaben abgeschlossen haben, da eine root-Benutzer-Shell jede Datei auf dem System löschen kann, unabhängig vom Eigentümer. Wenn Sie eine Shell wie tclsh verwenden und Ihre Eingabeaufforderung einfach ein% -Zeichen ist, versuchen Sie whoami als Befehl an der Eingabeaufforderung. Es sollte Ihnen genau sagen, bei wem Sie angemeldet sind.
PRO TIPP: Wenn das Problem bei Ihrem Computer oder Laptop / Notebook auftritt, sollten Sie versuchen, die Reimage Plus Software zu verwenden, die die Repositories durchsuchen und beschädigte und fehlende Dateien ersetzen kann. Dies funktioniert in den meisten Fällen, in denen das Problem aufgrund einer Systembeschädigung auftritt. Sie können Reimage Plus herunterladen, indem Sie hier klickenSie können immer auch sudo rbash verwenden, um auf eine eingeschränkte Shell zuzugreifen, die nicht über so viele Funktionen verfügt und daher weniger Schaden verursachen kann. Denken Sie daran, dass diese von einem grafischen Terminal, das Sie in Ihrer Desktop-Umgebung öffnen, einer grafischen Vollbild-Terminal-Umgebung oder einer der sechs virtuellen Konsolen, die Ihnen Linux zur Verfügung stellt, gleich gut funktionieren. Das System kann nicht zwischen diesen verschiedenen Optionen unterscheiden, was bedeutet, dass Sie diese Änderungen von Standard-Ubuntu, beliebigen Spins wie Lubuntu oder Kubuntu oder einer Installation von Ubuntu Server ohne grafische Desktop-Pakete vornehmen können.
Methode 2: Überprüfen Sie, ob das root-Konto ein nicht verwendbares Kennwort hat
Führen Sie sudo passwd -S root aus, um zu überprüfen, ob das root-Konto zu irgendeinem Zeitpunkt über ein nicht verwendbares Kennwort verfügt. Wenn dies der Fall ist, liest es Root L in der zurückgegebenen Ausgabe sowie einige Informationen über Datum und Uhrzeit, zu denen das Root-Passwort geschlossen wurde. Dies entspricht im Allgemeinen der Installation von Ubuntu und kann ignoriert werden. Wenn es stattdessen root P liest, hat das root-Konto ein gültiges Kennwort und Sie müssen es mit den Schritten in Methode 1 ausschließen.
Wenn die Ausgabe dieses Programms NP liest, müssen Sie noch unbedingt sudo passwd -l root ausführen, um das Problem zu beheben, da dies anzeigt, dass es überhaupt kein root-Passwort gibt und jeder, der ein Skript enthält, eine root-Shell erhalten könnte von einer virtuellen Konsole.
Methode 3: Identifizieren eines kompromittierten Systems von GRUB
Dies ist der unheimliche Teil und der Grund, dass Sie immer Backups Ihrer wichtigsten Dateien erstellen müssen. Wenn Sie das GNU GRUB-Menü laden, sollten Sie beim Booten des Systems generell Esc drücken, um verschiedene Boot-Optionen zu sehen. Wenn Sie jedoch eine Nachricht sehen, in der sie angezeigt wird, sehen Sie möglicherweise eine kompromittierte Maschine.
Testmaschinen, die mit dem Programm KillDisk kompromittiert sind, lesen etwas wie:
* Es tut uns leid, aber die Verschlüsselung
Ihrer Daten wurde erfolgreich abgeschlossen,
so können Sie Ihre Daten verlieren oder
Die Nachricht wird Sie weiter anweisen, Geld an eine bestimmte Adresse zu senden. Sie sollten diesen Computer neu formatieren und Linux neu installieren. Beantworten Sie keine der Bedrohungen von KillDisk. Dies hilft nicht nur den Personen, die diese Art von Schemata ausführen, sondern auch das Linux-Versionsprogramm speichert den Verschlüsselungsschlüssel aufgrund eines Fehlers nicht richtig. Das bedeutet, dass es keinen Weg gibt, selbst wenn Sie nachgeben würden. Stellen Sie sicher, dass Sie saubere Backups haben und Sie sich keine Sorgen darüber machen müssen, eine solche Position zu haben.
PRO TIPP: Wenn das Problem bei Ihrem Computer oder Laptop / Notebook auftritt, sollten Sie versuchen, die Reimage Plus Software zu verwenden, die die Repositories durchsuchen und beschädigte und fehlende Dateien ersetzen kann. Dies funktioniert in den meisten Fällen, in denen das Problem aufgrund einer Systembeschädigung auftritt. Sie können Reimage Plus herunterladen, indem Sie hier klicken