Por algum tempo, acreditou-se que o ransomware raramente afeta máquinas que executam Linux e até mesmo FreeBSD. Infelizmente, o ransomware KillDisk agora atacou um punhado de máquinas com Linux e parece que mesmo as distribuições que eliminam a conta root, como o Ubuntu e seus vários spins oficiais, podem estar vulneráveis. Certos cientistas da computação expressaram a opinião de que muitas ameaças de segurança que influenciaram o Ubuntu de alguma forma comprometeram alguns aspectos da interface do desktop Unity, mas essa ameaça pode prejudicar até mesmo aqueles que usam KDE, Xfce4, Openbox ou mesmo o Ubuntu Server baseado em console completamente virtual.
Naturalmente, as regras do bom senso se aplicam à luta contra esse tipo de ameaça. Não acesse links suspeitos em um navegador e certifique-se de executar uma verificação de malware em arquivos baixados da Internet e também em anexos de e-mail. Isso é especialmente verdadeiro para qualquer código executável que você baixou, embora os programas provenientes dos repositórios oficiais recebam uma assinatura digital para reduzir essa ameaça. Você deve sempre usar um editor de texto para ler o conteúdo de qualquer script antes de executá-lo. Além de tudo isso, existem algumas etapas específicas que você pode executar para proteger seu sistema da forma de KillDIsk que ataca o Ubuntu.
Método 1: eliminar a conta root
Os desenvolvedores do Ubuntu tomaram uma decisão consciente de fazer hash da conta root e, embora isso não tenha se mostrado totalmente capaz de impedir esse tipo de ataque, é uma das principais razões pelas quais demorou para prejudicar os sistemas. É possível restaurar o acesso à conta root, o que é comum para quem está usando suas máquinas como servidores, mas isso tem sérias consequências quando se trata de segurança.
Alguns usuários podem ter emitido sudo passwd e, em seguida, dado à conta root uma senha que eles poderiam usar para efetuar login em consoles gráficos e virtuais. Para desabilitar imediatamente esta funcionalidade, use sudo passwd -l root para eliminar o login de root e colocar o Ubuntu ou o spin que você usa de volta ao lugar onde estava originalmente. Quando sua senha for solicitada, você precisará inserir sua senha de usuário e não a senha especial que você deu à conta root, presumindo que você estava trabalhando a partir de um login de usuário.
Naturalmente, o melhor método envolve nunca ter usado sudo passwd para começar. Uma maneira mais segura de lidar com o problema é usar sudo bash para obter uma conta root. Será solicitada sua senha, que novamente seria sua senha de usuário e não de root, assumindo que você tenha apenas uma conta de usuário em sua máquina Ubuntu. Lembre-se de que você também pode obter um prompt de root para outros shells usando sudo seguido do nome do referido shell. Por exemplo, sudo tclsh cria um shell root baseado em um interpretador Tcl simples.
Certifique-se de digitar exit para sair de um shell depois de concluir suas tarefas de administração, porque um shell de usuário root pode excluir qualquer arquivo no sistema, independentemente da propriedade. Se você estiver usando um shell como tclsh e seu prompt for simplesmente um sinal de%, tente whoami como um comando no prompt. Deve dizer exatamente com quem você está conectado.
Você sempre pode usar sudo rbash também para acessar um shell restrito que não tem tantos recursos e, portanto, oferece menos chance de causar danos. Lembre-se de que eles funcionam igualmente bem em um terminal gráfico que você abre em seu ambiente de área de trabalho, um ambiente de terminal gráfico em tela cheia ou um dos seis consoles virtuais que o Linux disponibiliza para você. O sistema não consegue distinguir entre essas diferentes opções, o que significa que você será capaz de fazer essas mudanças no Ubuntu padrão, qualquer um dos spins como Lubuntu ou Kubuntu ou uma instalação do Ubuntu Server sem quaisquer pacotes de desktop gráfico.
Método 2: Verifique se a conta root tem uma senha inutilizável
Execute sudo passwd -S root para verificar se a conta root tem uma senha inutilizável a qualquer momento. Em caso afirmativo, ele lerá root L na saída retornada, bem como algumas informações sobre a data e hora em que a senha de root foi encerrada. Isso geralmente corresponde a quando você instalou o Ubuntu e pode ser ignorado com segurança. Se em vez disso estiver escrito root P, então a conta root tem uma senha válida e você precisa bloqueá-la com as etapas do Método 1.
Se a saída deste programa for NP, então você precisa executar sudo passwd -l root para corrigir o problema, pois isso indica que não há uma senha de root e qualquer um incluindo um script pode obter um shell de root a partir de um console virtual.
Método 3: Identificando um Sistema Comprometido do GRUB
Essa é a parte assustadora e a razão pela qual você sempre precisa fazer backups de seus arquivos mais importantes. Quando você carrega o menu GNU GRUB, geralmente pressionando Esc ao inicializar seu sistema, você deve ver várias opções de inicialização diferentes. No entanto, se você vir uma mensagem soletrada onde eles estão, então você pode estar olhando para uma máquina comprometida.
As máquinas de teste comprometidas com o programa KillDisk leem algo como:
* Lamentamos, mas a criptografia
de seus dados foi completado com sucesso,
para que você possa perder seus dados ou
A mensagem continuará instruindo você a enviar dinheiro para um endereço específico. Você deve reformatar esta máquina e reinstalar o Linux nela. Não responda a nenhuma das ameaças do KillDisk. Isso não apenas ajuda os indivíduos que executam esses tipos de esquemas, mas também o programa da versão do Linux na verdade não armazena corretamente a chave de criptografia por causa de um bug. Isso significa que não há como contornar isso, mesmo que você desista. Apenas certifique-se de ter backups limpos e você não terá que se preocupar em estar em uma posição como esta.
4 minutos lidos
