Sådan beskytter du dig mod KillDisk Attack på Ubuntu

I et stykke tid er det blevet antaget, at ransomware sjældent rammer maskiner, der kører Linux og endda FreeBSD for den sags skyld. Desværre har KillDisk ransomware nu angrebet en håndfuld Linux-drevne maskiner, og det ser ud til, at lige udbredelser, der har rod på rodkontoen som Ubuntu og dens forskellige officielle spins kunne være sårbare. Visse computerforskere har givet udtryk for den opfattelse, at mange sikkerhedstrusler, der påvirker Ubuntu, på en eller anden måde kompromitterede et aspekt af Unity-skrivebordets grænseflade, men denne trussel kan skade selv dem, der bruger KDE, Xfce4, Openbox eller endda den helt virtuelle konsolbaserede Ubuntu Server.

Naturligvis gælder de gode sundhedsregler for at bekæmpe denne type trussel. Få ikke adgang til mistænkelige links i en browser, og sørg for at udføre en malware-scanning på filer, der er hentet fra internettet, samt dem fra e-mail-vedhæftede filer. Dette gælder især for alle eksekverbare kode, du har downloadet, selvom programmer, der kommer fra de officielle depoter, modtager en digital signatur for at reducere denne trussel. Du bør altid sørge for at bruge en teksteditor til at læse indholdet af et script før du kører det. Ud over disse ting er der et par specifikke skridt, du kan tage for at beskytte dit system mod den form for KillDIsk, der angriber Ubuntu.

Metode 1: Hash Out root-kontoen

Ubuntu's udviklere lavede en bevidst beslutning om at hash ud af rodkontoen, og selv om dette ikke har vist sig helt stand til at standse denne type angreb, er det en af de primære grunde, at det har været langsomt at skade systemer. Det er muligt at gendanne adgangen til rodkontoen, som er almindelig for dem, der bruger deres maskiner som servere, men det har alvorlige konsekvenser for sikkerheden.

Nogle brugere har muligvis udstedt sudo passwd og derefter givet root-kontoen et kodeord, som de rent faktisk kunne bruge til at logge ind fra både grafiske og virtuelle konsoller. For at deaktivere denne funktionalitet straks, brug sudo passwd -l root for at fjerne root login og læg Ubuntu eller det spin, du bruger tilbage til, hvor det oprindeligt var. Når du bliver bedt om dit kodeord, skal du faktisk indtaste din brugeradgangskode og ikke den særlige, du gav til root-kontoen, forudsat at du arbejdede fra en bruger login.

Naturligvis betyder den bedste metode aldrig at have brugt sudo passwd til at begynde med. En sikrere måde at håndtere problemet på er at bruge sudo bash til at få en rodkonto. Du bliver bedt om dit kodeord, hvilket igen ville være din bruger og ikke root-kodeord, hvis du kun har en brugerkonto på din Ubuntu-maskine. Husk på, at du også kunne få en rodprompt for andre skaller ved at bruge sudo efterfulgt af navnet på shell. For eksempel skaber sudo tclsh en rodskal baseret på en enkel Tcl-tolk.

Sørg for at skrive exit for at komme ud af en shell, når du er færdig med dine administrationsopgaver, fordi en rodbruger skal kan slette enhver fil på systemet uanset ejerskab. Hvis du bruger en shell som tclsh, og din prompt er simpelthen et% tegn, så prøv whoami som en kommando ved prompten. Det skal fortælle dig præcis, hvem du er logget ind som.

PRO TIP: Hvis problemet er med din computer eller en bærbar computer / notesbog, skal du prøve at bruge Reimage Plus-softwaren, som kan scanne lagrene og udskifte korrupte og manglende filer. Dette virker i de fleste tilfælde, hvor problemet er opstået på grund af systemkorruption. Du kan downloade Reimage Plus ved at klikke her

Du kan også altid bruge sudo rbash til at få adgang til en begrænset skal, der ikke har så mange funktioner, og derfor giver mindre chance for at forårsage skade. Husk, at disse fungerer lige så godt fra en grafisk terminal, du åbner i dit skrivebordsmiljø, et grafisk terminalmiljø i fuld skærm eller en af de seks virtuelle konsoller, som Linux stiller til rådighed for dig. Systemet kan ikke skelne mellem disse forskellige muligheder, hvilket betyder at du vil kunne foretage disse ændringer fra standard Ubuntu, hvilket som helst af spinserne som Lubuntu eller Kubuntu eller en installation af Ubuntu Server uden grafiske desktoppakker.

Metode 2: Kontroller, om rodkontoen har et ubrugbart kodeord

Kør sudo passwd -S root for at kontrollere, om root-kontoen til enhver tid har en ubrugelig adgangskode. Hvis det gør det, vil det læse root L i den returnerede udgang samt nogle oplysninger om dato og klokkeslæt, som root-adgangskoden blev lukket. Dette svarer generelt til, når du installerede Ubuntu, og kan sikkert ignoreres. Hvis den i stedet læser rod P, har rodkontoen en gyldig adgangskode, og du skal låse den ud med trinene i metode 1.

Hvis output fra dette program læser NP, så er du endnu mere ubetinget nødt til at køre sudo passwd -l root for at løse problemet, da dette indikerer, at der slet ikke er root-kodeord, og alle, der indeholder et script, kunne få en root shell fra en virtuel konsol.

Metode 3: Identifikation af et kompromitteret system fra GRUB

Dette er den skræmmende del, og årsagen til, at du altid har brug for at lave sikkerhedskopier af dine vigtigste filer. Når du læser GNU GRUB menuen, generelt ved at trykke Esc når du starter dit system, skal du se flere forskellige opstartsmuligheder. Men hvis du ser en besked stavet ud, hvor de ville være, så kan du se på en kompromitteret maskine.

Testmaskiner kompromitteret med KillDisk programmet læses noget som:

* Vi beklager, men krypteringen

af dine data er blevet gennemført,

så du kan miste dine data eller

Meddelelsen fortsætter med at instruere dig om at sende penge til en bestemt adresse. Du skal omformatere denne maskine og geninstallere Linux på den. Du må ikke svare på nogen af KillDisks trusler. Dette hjælper ikke kun de personer, der kører sådanne ordninger, men også Linux-versionsprogrammet lagrer faktisk ikke krypteringsnøglen korrekt på grund af en fejl. Det betyder, at der ikke er nogen vej rundt om det, selvom du skulle give ind. Sørg bare for at have rene sikkerhedskopier, og du behøver ikke bekymre dig om at være en stilling som denne.