Làm thế nào để bảo vệ mình khỏi KillDisk Attack trên Ubuntu
Trong một thời gian khá lâu, người ta tin rằng phần mềm ransomware hiếm khi ảnh hưởng đến các máy chạy Linux và thậm chí là FreeBSD cho vấn đề đó. Thật không may, ransomware KillDisk giờ đây đã tấn công một số máy chạy bằng Linux, và có vẻ như thậm chí các bản phân phối băm ra tài khoản gốc như Ubuntu và các spin chính thức khác nhau của nó có thể dễ bị tổn thương. Một số nhà khoa học máy tính đã bày tỏ quan điểm rằng nhiều mối đe dọa bảo mật ảnh hưởng đến Ubuntu bằng cách nào đó đã làm hại một số khía cạnh của giao diện desktop Unity, nhưng mối đe dọa này có thể gây hại cho cả những người sử dụng KDE, Xfce4, Openbox hoặc thậm chí cả Ubuntu Server.
Đương nhiên các quy tắc thông thường tốt áp dụng để chống lại loại mối đe dọa này. Không truy cập các liên kết đáng ngờ trong trình duyệt và đảm bảo quét phần mềm độc hại trên các tệp được tải xuống từ Internet cũng như các tệp từ tệp đính kèm email. Điều này đặc biệt đúng đối với bất kỳ mã thực thi nào mà bạn đã tải xuống, mặc dù các chương trình đến từ kho lưu trữ chính thức nhận được chữ ký số để giảm mối đe dọa này. Bạn nên luôn đảm bảo sử dụng trình chỉnh sửa văn bản để đọc nội dung của bất kỳ tập lệnh nào trước khi bạn chạy tập lệnh đó. Trên đầu trang của những điều này, có một vài bước cụ thể bạn có thể thực hiện để bảo vệ hệ thống của bạn từ các hình thức của KillDIsk tấn công Ubuntu.
Phương pháp 1: băm tài khoản gốc
Các nhà phát triển Ubuntu đã quyết định bẻ khóa tài khoản gốc, và mặc dù điều này không chứng minh được khả năng ngăn chặn kiểu tấn công này, đó là một trong những lý do chính khiến hệ thống bị làm chậm. Có thể khôi phục quyền truy cập vào tài khoản gốc, điều này là phổ biến cho những người đang sử dụng máy của họ làm máy chủ, nhưng điều này có những hậu quả nghiêm trọng khi nói đến bảo mật.
Một số người dùng có thể đã phát hành sudo passwd và sau đó cho tài khoản gốc một mật khẩu mà họ thực sự có thể sử dụng để đăng nhập từ cả bảng điều khiển đồ họa và ảo. Để vô hiệu hóa chức năng này ngay lập tức, hãy sử dụng sudo passwd -l root để loại bỏ đăng nhập root và đặt Ubuntu hoặc spin bạn sử dụng trở lại nơi ban đầu. Khi bạn được yêu cầu nhập mật khẩu, bạn sẽ cần phải nhập mật khẩu người dùng của mình chứ không phải mật khẩu đặc biệt mà bạn đã cung cấp cho tài khoản gốc, giả sử rằng bạn đang làm việc từ thông tin đăng nhập của người dùng.
Đương nhiên, phương pháp tốt nhất liên quan đến việc không bao giờ sử dụng sudo passwd để bắt đầu. Một cách an toàn hơn để xử lý vấn đề là sử dụng sudo bash để lấy một tài khoản root. Bạn sẽ được yêu cầu nhập mật khẩu, một lần nữa sẽ là người dùng của bạn chứ không phải mật khẩu gốc, giả sử bạn chỉ có một tài khoản người dùng trên máy Ubuntu của mình. Hãy nhớ rằng bạn cũng có thể nhận được một dấu nhắc gốc cho các shell khác bằng cách sử dụng sudo theo sau là tên của shell đã nói. Ví dụ, sudo tclsh tạo một trình bao gốc dựa trên một trình thông dịch Tcl đơn giản.
Hãy chắc chắn gõ exit để thoát khỏi trình bao sau khi bạn hoàn thành nhiệm vụ quản trị của mình, bởi vì một shell người dùng root có thể xóa bất kỳ tập tin nào trên hệ thống bất kể quyền sở hữu. Nếu bạn đang sử dụng một vỏ như tclsh và dấu nhắc của bạn chỉ đơn giản là một dấu%, sau đó thử whoami như một lệnh tại dấu nhắc. Nó sẽ cho bạn biết chính xác bạn đã đăng nhập là ai.
Mẹo CHUYÊN NGHIỆP: Nếu vấn đề xảy ra với máy tính của bạn hoặc máy tính xách tay / máy tính xách tay, bạn nên thử sử dụng phần mềm Reimage Plus có thể quét các kho lưu trữ và thay thế các tệp bị hỏng và bị thiếu. Điều này làm việc trong hầu hết các trường hợp, nơi vấn đề được bắt nguồn do một tham nhũng hệ thống. Bạn có thể tải xuống Reimage Plus bằng cách nhấp vào đâyBạn luôn có thể sử dụng sudo rbash để truy cập vào một shell bị hạn chế không có nhiều tính năng, và do đó cung cấp ít cơ hội gây ra thiệt hại. Hãy nhớ rằng những công việc này tốt như nhau từ một thiết bị đầu cuối đồ họa mà bạn mở trong môi trường máy tính để bàn, môi trường thiết bị đầu cuối đồ họa toàn màn hình hoặc một trong sáu bảng điều khiển ảo mà Linux cung cấp cho bạn. Hệ thống không thể phân biệt giữa các tùy chọn khác nhau này, có nghĩa là bạn sẽ có thể thực hiện những thay đổi này từ Ubuntu chuẩn, bất kỳ spin nào như Lubuntu hoặc Kubuntu hoặc cài đặt Ubuntu Server mà không có bất kỳ gói đồ họa máy tính để bàn nào.
Phương pháp 2: Kiểm tra xem Tài khoản gốc có Mật khẩu không sử dụng được không
Chạy sudo passwd -S root để kiểm tra xem tài khoản gốc có mật khẩu không sử dụng được bất kỳ lúc nào không. Nếu có, sau đó nó sẽ đọc gốc L trong đầu ra trả về, cũng như một số thông tin về ngày tháng và thời gian mật khẩu gốc đã bị đóng. Điều này thường tương ứng với khi bạn cài đặt Ubuntu, và có thể được bỏ qua một cách an toàn. Nếu nó thay vì đọc gốc P, thì tài khoản gốc có mật khẩu hợp lệ, và bạn cần khóa nó bằng các bước trong Phương pháp 1.
Nếu đầu ra của chương trình này đọc NP, thì bạn cần phải chạy sudo passwd -l root để khắc phục vấn đề, vì điều này cho biết rằng không có mật khẩu root và bất kỳ ai bao gồm một script có thể có được root shell từ bảng điều khiển ảo.
Phương pháp 3: Xác định một hệ thống bị xâm phạm từ GRUB
Đây là phần đáng sợ, và lý do mà bạn luôn cần phải sao lưu các tệp quan trọng nhất của mình. Khi bạn tải trình đơn GNU GRUB, thông thường bằng cách đẩy Esc khi khởi động hệ thống của bạn, bạn sẽ thấy một số tùy chọn khởi động khác nhau. Tuy nhiên, nếu bạn thấy một thông báo đánh vần vị trí của chúng, thì bạn có thể đang xem một máy bị xâm phạm.
Các máy thử nghiệm bị xâm nhập với chương trình KillDisk đọc một cái gì đó như:
* Chúng tôi rất xin lỗi, nhưng mã hóa
dữ liệu của bạn đã được hoàn tất thành công,
để bạn có thể mất dữ liệu hoặc
Thông báo sẽ tiếp tục hướng dẫn bạn gửi tiền đến một địa chỉ cụ thể. Bạn nên định dạng lại máy này và cài đặt lại Linux trên máy. Đừng trả lời bất kỳ mối đe dọa nào của KillDisk. Không chỉ điều này chỉ giúp các cá nhân chạy các loại lược đồ này, mà cả chương trình phiên bản Linux thực sự không lưu trữ khóa mã hóa đúng cách vì lỗi. Điều này có nghĩa rằng không có cách nào xung quanh nó, ngay cả khi bạn đã cho vào. Chỉ cần chắc chắn để có bản sao lưu sạch sẽ và bạn sẽ không phải lo lắng về việc là một vị trí như thế này.
Mẹo CHUYÊN NGHIỆP: Nếu vấn đề xảy ra với máy tính của bạn hoặc máy tính xách tay / máy tính xách tay, bạn nên thử sử dụng phần mềm Reimage Plus có thể quét các kho lưu trữ và thay thế các tệp bị hỏng và bị thiếu. Điều này làm việc trong hầu hết các trường hợp, nơi vấn đề được bắt nguồn do một tham nhũng hệ thống. Bạn có thể tải xuống Reimage Plus bằng cách nhấp vào đây