Linux - Alvo de Ransomware

Black Fox · 6 de janeiro de 2017

Variante do ransomware KillDisk, exibe nota de resgate no Grub.

Recentemente, uma nova variante do ransomware KillDisk foi encontrada criptografando máquinas GNU/Linux, tornando-as inacessíveis.

http://www.sempreupdate.com.br/2017/01/ransomware-que-tem-como-alvo-o-sistemas-gnulinux-exige-resgate-de-uss-200-mil-mas-nao-vai-descriptografar-seus-arquivos.html#more

Édnei Rodrigues · 6 de janeiro de 2017

Ok, agora me responde o seguinte....HOW ?! Para um malware conseguir chegar ao nível de edição do GRUB, ele precisa:

1) Executar um comando em modo root, utilizando, ou o SUDO, ou o ROOT. Nos dois casos, há não ser que tu tenhas editado o sudoers, pede a senha;

2) Precisará instalar algum programa para criptografar e pode acontecer do repositório não ter esse programa;

3) Mesma que consiga o programa, como ele terá acesso a chave ? SSH ? Como ele irá acessar remotamente a máquina e ter controle dela?

4) Mesmo que ele consiga controle da máquina remotamente, ainda terá o trabalho de criptografar o disco de acordo com a característica da máquina, ou seja, pode levar um bom tempo...

Enfim, surreal isso aí.

Fn1X · 6 de janeiro de 2017

Aconteceu ano passado em uma empresa cliente da que trabalho,

O Servidor linux (firewall), servidor linux de arquivos, alguns macs (porém esses eram servidores de pastas compartilhadas em rede) e os servidores windows foram vitimas, tiveram todos os arquivos sequestrados.

Antes de acontecer, passamos semanas tendo uma lentidão terrível na rede interna e não conseguimos encontrar a causa, a cada momento o foco que estava comendo a banda mudava dentro da rede. Até hoje não sabemos como ele conseguiu fazer isso nos servidores linux. porém no nosso caso em todas as maquinas tinham um .txt explicando o resgate.

abs.

Black Fox · 6 de janeiro de 2017

@anjoed - na informação apresentada pelo pessoal do Sempre Update é exibda a imagem de uma tela do Grub supostamente alterada pelo malware... então pode ser que a versão do ransomware para linux se utilize de alguma falha....

Henrique - RJ · 6 de janeiro de 2017

Talvez o ataque tenha iniciado pelo Windows em dual boot com o Linux.

Édnei Rodrigues · 8 de janeiro de 2017

@Henrique - RJ Acho que não, pois o windows não possui permissões de escrita. Se o windows pudesse montar essa partição, tudo bem, mas não lembro de nenhum método para isso.

@Manjaro Eu até pensei nisso, mas se tu mantem o teu S.O. atualizado e segue o básico de segurança ( sudo com senha e root separado do user), esse método é somente mais uma forma de ferrar com um PC DEPOIS que tu tens acesso a ele. Não é uma ferramenta para invasão.

Henrique - RJ · 9 de janeiro de 2017

@anjoed

baahhh, isso deve ter sido executado a partir de um instalador ou pacote não oficial.

Amanda Santini · 5 de fevereiro de 2017

A maioria esmagadora dos ataques com sucesso acontece por causa da má administração da máquina. Firewall mal configurado, senha SSH ruim ou SSH remoto habilitado, etc.

Se instalar e rodar pacotes não-oficiais, tem que correr o risco mesmo. Não há choro depois, a menos que se use proteções no Kernel como GRSecurity e Firejail para isolar o aplicativo.