วิธีการป้องกันตนเองจากการโจมตี KillDisk บน Ubuntu

สำหรับค่อนข้างนานก็เชื่อว่า ransomware ไม่ค่อยมีผลต่อเครื่องที่ใช้ Linux และแม้กระทั่ง FreeBSD สำหรับเรื่องที่ แต่น่าเสียดายที่เครื่อง KillSys ransomware ของ KillDisk ได้โจมตีเครื่องจักรที่ขับเคลื่อนโดยระบบลีนุกซ์แล้วและดูเหมือนว่าแม้แต่การแจกจ่ายที่แฮคเอาต์บัญชีรากเช่น Ubuntu และการหมุนอย่างเป็นทางการต่างๆอาจเสี่ยง นักคอมพิวเตอร์บางรายได้แสดงความเห็นว่าภัยคุกคามด้านความปลอดภัยจำนวนมากที่มีผลต่อ Ubuntu ทำให้บางส่วนของอินเทอร์เฟซ Unity desktop ล่ม แต่ภัยคุกคามนี้อาจเป็นอันตรายต่อแม้แต่ผู้ใช้ KDE, Xfce4, Openbox หรือแม้กระทั่ง Ubuntu Server ที่ใช้คอนโซลเสมือนจริง

กฎทั่วไปเกี่ยวกับสามัญสำนึกที่ดีจะนำไปใช้ในการต่อสู้กับประเภทของภัยคุกคามนี้ อย่าเข้าถึงลิงก์ที่น่าสงสัยในเบราว์เซอร์และตรวจสอบว่าได้ทำการสแกนมัลแวร์ในไฟล์ที่ดาวน์โหลดมาจากอินเทอร์เน็ตรวมทั้งอีเมลจากสิ่งที่แนบมาด้วย โดยเฉพาะอย่างยิ่งสำหรับโค้ดปฏิบัติการใด ๆ ที่คุณดาวน์โหลดมาแม้ว่าโปรแกรมที่มาจากที่เก็บข้อมูลอย่างเป็นทางการจะได้รับลายเซ็นดิจิทัลเพื่อลดภัยคุกคามนี้ คุณควรตรวจสอบให้แน่ใจว่าได้ใช้โปรแกรมแก้ไขข้อความเพื่ออ่านเนื้อหาของสคริปต์ใด ๆ ก่อนที่จะเรียกใช้ ด้านบนของสิ่งเหล่านี้มีขั้นตอนเฉพาะบางอย่างที่คุณสามารถทำได้เพื่อปกป้องระบบของคุณจากรูปแบบ KillDIsk ที่โจมตี Ubuntu

วิธีที่ 1: แฮชเอาต์บัญชีราก

นักพัฒนาซอฟต์แวร์ของอูบุนตูได้ตัดสินใจที่จะแฮคเอาท์บัญชีรากและในขณะที่ยังไม่ได้พิสูจน์ว่าสามารถหยุดการโจมตีประเภทนี้ได้อย่างสมบูรณ์ก็เป็นอีกสาเหตุหนึ่งที่ทำให้ระบบของคุณช้าลง สามารถเรียกคืนการเข้าถึงบัญชีรากซึ่งเป็นเรื่องปกติสำหรับผู้ที่ใช้เครื่องของตนเป็นเซิร์ฟเวอร์ แต่จะมีผลร้ายแรงต่อการรักษาความปลอดภัย

ผู้ใช้บางรายอาจได้ออกรหัสผ่าน sudo passwd และให้รหัสผ่านแก่ผู้ใช้ root ที่ใช้จริงเพื่อล็อกอินจากคอนโซลกราฟิกและเสมือน เมื่อต้องการปิดใช้งานฟังก์ชันการทำงานนี้ทันทีให้ใช้ sudo passwd -l root เพื่อยกเลิกการล็อกอินของ root และใส่ Ubuntu หรือการหมุนที่คุณใช้กลับไปที่เดิม เมื่อคุณขอรหัสผ่านคุณจะต้องป้อนรหัสผ่านผู้ใช้จริงและไม่ใช่รหัสพิเศษที่คุณให้ไว้กับบัญชีรากโดยสมมติว่าคุณกำลังทำงานจากการเข้าสู่ระบบของผู้ใช้

วิธีที่ดีที่สุดคือไม่เคยใช้ sudo passwd มาก่อน วิธีที่ปลอดภัยในการจัดการปัญหาคือการใช้ sudo bash เพื่อรับบัญชี root คุณจะได้รับการถามรหัสผ่านของคุณซึ่งจะเป็นรหัสผ่านของผู้ใช้ของคุณไม่ใช่รหัสผ่าน root สมมติว่าคุณมีบัญชีผู้ใช้เพียงเครื่องเดียวบนเครื่องอูบุนตูของคุณเท่านั้น โปรดจำไว้ว่าคุณจะได้รับคำแนะนำ root สำหรับเปลือกอื่น ๆ โดยใช้ sudo ตามด้วยชื่อ shell ดังกล่าว ตัวอย่างเช่น sudo tclsh สร้างเปลือกรากขึ้นอยู่กับล่าม Tcl แบบง่ายๆ

ตรวจสอบให้แน่ใจว่าได้พิมพ์ exit เพื่อออกจากเชลล์เมื่อทำภารกิจการดูแลระบบเสร็จสิ้นแล้วเนื่องจากเปลือกของผู้ใช้ root สามารถลบไฟล์ในระบบโดยไม่คำนึงถึงความเป็นเจ้าของ ถ้าคุณใช้เชลล์เช่น tclsh และพรอมต์ก็แค่เครื่องหมาย% แล้วลองใช้คำสั่ง whoami ตามคำสั่ง ควรบอกให้คุณทราบว่าคุณเข้าสู่ระบบเป็นใคร

คุณสามารถใช้ sudo rbash ได้เสมอเพื่อเข้าถึงเปลือกที่มีข้อ จำกัด ซึ่งไม่มีคุณลักษณะมากนักและทำให้โอกาสเกิดความเสียหายน้อยลง โปรดจำไว้ว่าการทำงานเหล่านี้ทำงานได้ดีจากเทอร์มินัลกราฟิกที่คุณเปิดในสภาวะแวดล้อมเดสก์ท็อปสภาพแวดล้อมแบบกราฟิกแบบเต็มหน้าจอหรือหนึ่งในหกคอนโซลเสมือนที่ Linux มีให้คุณ ระบบไม่สามารถแยกความแตกต่างระหว่างตัวเลือกต่างๆเหล่านี้ได้ซึ่งหมายความว่าคุณจะสามารถทำการเปลี่ยนแปลงเหล่านี้จาก Ubuntu มาตรฐานการหมุนใด ๆ เช่น Lubuntu หรือ Kubuntu หรือการติดตั้ง Ubuntu Server โดยไม่มีชุดกราฟิกเดสก์ท็อป

วิธีที่ 2: ตรวจสอบว่าบัญชี root มี Unusable Password หรือไม่

เรียกใช้ sudo passwd -S root เพื่อตรวจสอบว่าบัญชี root มีรหัสผ่านที่ใช้ไม่ได้ตลอดเวลา ถ้าเป็นเช่นนั้นก็จะอ่านราก L ในผลลัพธ์ที่ส่งคืนรวมถึงข้อมูลบางอย่างเกี่ยวกับวันที่และเวลาที่รหัสผ่าน root ถูกปิดอยู่ นี้มักจะสอดคล้องกับเมื่อคุณติดตั้ง Ubuntu และสามารถละเลยได้อย่างปลอดภัย ถ้าอ่านราก P แทนบัญชี root จะมีรหัสผ่านที่ถูกต้องและคุณจำเป็นต้องล็อคออกด้วยขั้นตอนในวิธีที่ 1

ถ้าผลลัพธ์ของโปรแกรมนี้อ่าน NP คุณจำเป็นต้องเรียกใช้ sudo passwd -l root มากขึ้นเพื่อแก้ปัญหาเนื่องจากนี่แสดงว่าไม่มีรหัสผ่าน root ที่ทุกคนรวมทั้งสคริปต์จะได้รับ root root จากคอนโซลเสมือน

วิธีที่ 3: ระบุระบบที่ถูกบุกรุกจาก GRUB

นี่เป็นส่วนที่น่ากลัวและเหตุผลที่คุณจำเป็นต้องทำการสำรองไฟล์ที่สำคัญที่สุดเสมอ เมื่อคุณโหลดเมนู GNU GRUB โดยทั่วไปโดยการกด Esc เมื่อบูตระบบของคุณคุณควรจะเห็นตัวเลือกการบู๊ตหลายแบบ อย่างไรก็ตามหากคุณเห็นข้อความสะกดออกมาว่าพวกเขาอยู่ที่ไหนคุณอาจกำลังมองหาเครื่องที่ถูกบุกรุก

เครื่องทดสอบที่ถูกบุกรุกด้วยโปรแกรม KillDisk อ่านสิ่งต่างๆเช่น:

เราขอโทษ แต่การเข้ารหัส

ของข้อมูลของคุณเสร็จสมบูรณ์แล้ว

เพื่อให้คุณสามารถทำข้อมูลหรือสูญหายได้

ข้อความจะเป็นการแนะนำให้คุณส่งเงินไปยังที่อยู่ที่เฉพาะเจาะจง คุณควรฟอร์แมตเครื่องนี้และติดตั้งลินุกซ์อีกครั้ง อย่าตอบคำขู่ใด ๆ ของ KillDisk ไม่เพียงแค่นี้จะช่วยให้บุคคลที่ใช้รูปแบบเหล่านี้ได้ แต่โปรแกรมเวอร์ชันลินุกซ์จะไม่สามารถจัดเก็บคีย์การเข้ารหัสได้อย่างถูกต้องเนื่องจากข้อบกพร่อง ซึ่งหมายความว่าไม่มีทางอยู่รอบ ๆ แม้ว่าคุณจะให้มาเพียงให้แน่ใจว่ามีการสำรองข้อมูลที่สะอาดและคุณจะไม่ต้องกังวลกับการเป็นตำแหน่งเช่นนี้

PRO TIP: หากปัญหาเกิดขึ้นกับคอมพิวเตอร์หรือแล็ปท็อป / โน้ตบุ๊คคุณควรลองใช้ซอฟต์แวร์ Reimage Plus ซึ่งสามารถสแกนที่เก็บข้อมูลและแทนที่ไฟล์ที่เสียหายได้ วิธีนี้ใช้ได้ผลในกรณีส่วนใหญ่เนื่องจากปัญหาเกิดจากความเสียหายของระบบ คุณสามารถดาวน์โหลด Reimage Plus โดยคลิกที่นี่