Как защитить Ubuntu от вируса-шифровальщика

2017 04 03 08

Уже с 2015 года существует специально сделанный троян-шифровальщик для линукс (Linux.Encoder.1). Конечно он опасен, если будет запущен с правами рута (админа), но сам он не запустится, однако последствия плачевные, всё нужное будет зашифровано.

Но есть ещё опасность, о которой можно забыть. Это эмулятор Wine для запуска Windows-программ в среде Linux. И здесь коварство кроется в том, что порой забываешь о том, что Wine по-умолчанию имеет прямой доступ к домашним папкам, а следовательно ко всему нужному. Wine отличная штука, умеет многое, но все его эти достоинства — становятся его же и недостатками.

Меня посещал вирус-шифровальщик через почтовое сообщение и скрипт запустился автоматически при открытии вложения, ведь у меня был Wine, который позволяет запускать windows-программы. И единственным способом было вернуть всё зашифрованное, это восстановить из архивов.

См. рисунок ниже, вот так вирус отложил свои «личинки» на виртуальном диске C:\ который эмитируется Wine, в этой папке типа живёт Windows.

2017 04 03 09

В текстовом файле README-ISHTAR.txt вымогатель просит связи с ним.

2017 04 03 10

Вот так вот.
Думаю, что подогревать рынок вымогательства не стоит. Делайте архивы своих данных. Тем более — не факт, что будет результат.

Что сделать с Wine для защиты от вирусов

Открыть настройки Wine и изменить доступ к домашним папкам.

2017 04 03 04

Исправить пути к домашним папкам на другой какой-то путь:

2017 04 03 01

Обратите внимание, что Wine по-умолчанию получает доступ через монтируемый диск Z: вообще к корню диска, не только к домашней папке (см. рисунок как по-умолчанию плохо всё):

2017 04 03 02

Обязательно надо выкинуть все лишние пути и оставить один где и живёт Wine, см. рисунок ниже как лучше:

2017 04 03 03

Но всё это не спасёт на 100%, потому как Wine имеет доступ к конфигурационным файлам в домашней папке, а именно к тому, что прячется в скрытых папках с точкой. В принципе стоит ожидать такие вирусы, которые этим воспользуются ))

Защита Linux от вирусов

И главный совет как защитить свои данные от коварства Wine или просто от вирусов, возьмите да удалите Wine, вот так:

sudo apt-get purge wine*

Если вы ещё и устанавливали родные для Wine репозитарии, то сносите их смело:

sudo add-apt-repository -r ppa:ubuntu-wine/ppa

Как выглядит вирус до заражения

Почему их называют Троян, а потому, что это работает по аналогии троянского коня. Если не будете трогать, то ничего и не будет.

Вот так выглядит письмо с трояном (возможно там и шифровальщик), но способ его доставки — «троянским конём», см. рисунок:

2017 04 06 01

Здесь даже ссылка, будто бы открытая, а ведёт не туда, и это видно если поднести к ссылке не нажимая на неё курсор мыши и сразу видно реальный адрес ссылки в нижней строке браузера, см. рисунок:

2017 04 06 02

Про такие письма я знаю лет двадцать, но оказалось, что многие этого не замечают, вот и решил поделиться.

Будьте внимательны.

Может я, что забыл упомянуть, сообщите в комментах ниже.