А бывают ли криптолокеры под линукс, и как их не найти?

называется башскрипт с openssl, занести могут на сервер по ссш или с почтой руками

Да, конечно есть.

Но вообще мало популярная штука в виду отсутствия выгоды. Это хомячок обычно не имеет бэкапов, и его легко запугать. На сарверах или IoT устройствах с этим особо ловить нечего.

при слове «вирус» у меня возникает либо ухмылка

Это комплекс неуловимого Джо. Оно пока спасает, да. Даже в Макос.

Под виндой конечно сральник, если ей пользоваться как обычно это делают.

А так на десктопах принципы те же, что и под вендой https://xakep.ru/2011/07/19/56270/

Но принцип Джо спасает, это да.

Вирусы под линукс возможны, но жертве самой придется качать исходники этих вирусов, компилировать и править конфиги. Поскольку всем лень, то и вирусов под линукс нет.

Специально для этого изобрели snap-пакеты. Больше никакой компиляции вирусов!

Так вот для чего нужен snap! Вирус в один клик!

в репах вроде нет. но я внимательно не искал.

стань маинтайнером

Статический бинарь с .desktop файлом для успешного запуска неграмотным пользователем подсунуть никак нельзя? Что там компилировать? Хомяк зашифровать в линуксе не сложнее чем в винде, особенно распространяя шифровальщик через почту, как это обычно делается.

можно, но это not-normal-unix-usage

если вендузятнику дать хоть linux, хоть что угодно - это будет запросто. а когда стандартная схема *всё из репов*, то сложно будет что-то засунуть

Так речь как раз идет о неграмотных. Бинарники из писем запускать - это и not normal windows usage.

Основная причина отсутствия распространения шифровальщиков под линукс состоит в том, что мало десктоп-юзеров. Вторая причина в том, что нет хорошего способа доставки малвари. И третья причина заключается в технической образованности стреднестатистического линукс-пользователя. А написать шифровальщик с нуля дело на день-два писанины. Да и профит какой? Ну зашифруешь ты мои файлы, и чё? Перекачаю с порнолаба/рутрекера, тоже мне проблема.

Всё бывает. И самораспространение возможно тоже. Просто рабочих уязвимостей с удалённым исполнением не так много, как в Windows. По крайней мере, если посмотреть когда-либо найденное. Плюс ещё надо, чтобы существовала локальная уязвимость для повышения привилегий, чтобы вылезти из-под того пользователя, под которым уязвимое приложение работает. И на всё это накладывается разносортица дистрибутивов, где одни и те же задачи решаются совсем разным ПО.

Бинарники из писем запускать - это и not normal windows usage.

запускать бинарники откуда угодно - это normal windows usage

запускать бинарники только из $PATH - это normal unix usage

потому что в ином случае ты не знаешь платформу, архитектуру, версии библиотек и т.д. а в случае с вендой, у тебя 20 гб библиотек на все случаи жизни :)

потому что в ином случае ты не знаешь платформу, архитектуру, версии библиотек

Это не так важно: перл/питон/баш в конце концов.

Не обязательно скрипты. достаточно компильнуть под i686 и слинковать статически. А там хоть кресты, хоть лисп.

мы говорим про *нормальный запуск программ*. даже в этом случае для НОРМАЛЬНОГО использования обычно требуются библиотеки. а однострочники - это либо самописное, либо что-то недоброжелательное. поэтому *взял файл и запустил* в венде это НОРМАЛЬНАЯ ситуация, а у нас - абсолютно ненормальная, никто так не делает и делать не должен. а кто делает - тот латентный вендузятник и должен страдать :)

ты не знаешь платформу, архитектуру, версии библиотек и т.д.

Это настолько ценные знания, что я каждое утро за бритьём перечисляю по памяти файлы из /usr/lib

Это настолько ценные знания, что я каждое утро за бритьём перечисляю по памяти файлы из /usr/lib

ещё раз. практически никто не распространяет бинарники по разным местам, потому что это практически всегда бесполезно

в windows же практически все распространяют бинарники методом *дай поносить*, потому что это практически всегда полезно. даже на сменных носителях ещё триста лет назад ввели фичу *autorun*, которая исполняет то, что там лежит - ПОТОМУ ЧТО ЭТО СРАБОТАЕТ

а у нас - не сработает и не должно сработать, так что и необходимости в этом нет. так что самый простой канал поставки дури в систему - его просто нет.

Ну да, все проблемы с безопасностью ОС - из-за неправильной иерархии ФС. Пишите ещё, иксперт.

Ну да, все проблемы с безопасностью ОС - из-за неправильной иерархии ФС.

из-за модели. в том числе модели пользователя. в одной - поощряется *кликай во всё, что плохо лежит*, и это вообще основной источник попадания софта на компьютер. во второй - нет. вот и вся разница.

в одной - поощряется *кликай во всё, что плохо лежит*

Што, правда? Прямо-таки винда заставляет пользователя запускать всё подряд?

даже на сменных носителях ещё триста лет назад ввели фичу *autorun*, которая исполняет то, что там лежит - ПОТОМУ ЧТО ЭТО СРАБОТАЕТ. а у нас - не сработает и не должно сработать

Ссылка выше об обратном

когда стандартная схема *всё из репов*, то сложно будет что-то засунуть

Из каких репов? Из штатных?

Просто есть всякие помойки типа aur в раче, или сомнительных ppa у Ubuntu, что моя параноя не позволила бы поставить.

А в штатных репах многого и нет.

Линукс такое же решето, как и другие системы. Получить рут на десктопе можно элементарно модифицировав .bashrc и всунув в $PATH свой бинарь su. К тому же всякого рода «важные файлы» скорее всего будут принадлежать юзеру, а не руту. Тут вопрос не в технической возможности, а в целесообразности. Под линукс малварь нацелена на серверный сегмент. Там совсем другие принципы «монетизации» для кибержулья.

всунув в $PATH свой бинарь su

Наверное ты хотел сказать suid. А как ты установишь на свой бинарь suid, балбес?

Нет, я про банальный перехват рут-пароля через фейковый su.

перехват рут-пароля через фейковый su

Поэтому придумали sudo. А что касается su то его запускать может только группа wheel. Если админ идиот, то так ему и надо.

Окей. Тупо ставим кейлогер с правами пользователя в иксах.

кейлогер с правами пользователя в иксах

Если у тебя уже есть права пользователя, нафига тебе его пароль?

Притащите ещё сказки про rsh и Кевина Митника. А то борода что-то короткая.

Можно придумать массу способов, как увести рута на десктопе имея учетку активного юзера. Но толку от этого мало, потому что малварь такого плана будет инжектиться в браузер и шариться по хомяку, для чего рут не нужен.

Ну зашифруешь ты мои файлы, и чё? Перекачаю с порнолаба/рутрекера, тоже мне проблема.

Затем я сделаю это снова.

Еще одна идея: подмена $PATH к компилятору, который будет бекдорить софт на этапе сборки.

малварь такого плана будет инжектиться в браузер и шариться по хомяку

И при чём тут ОС?

придумать массу способов, как увести рута на десктопе имея учетку активного юзера

Можно и регулярно появляются новые. Только всё таки это не так просто - поправил bashrc и готово.

Если у тебя уже есть права пользователя, нафига тебе его пароль?

Какой-то странный вопрос...

всё как всегда - потенциально у нас 3 млн долларов, а реально - две проститутки и старый гей

который будет бекдорить софт на этапе сборки

Этой идее 100 лет в обед. Вообще-то люди даже додумались что компилятор должен патчить исходники компилятора, добавляя малварь, при попытке пересборки компилятора.

запускать бинарники откуда угодно - это normal windows usage

Нет, нет и нет. В любом руководстве для домохозяек учат так не делать. По крайней мере, я еще не видел, чтобы человека, запускающего экзешники из писем считали нормальным даже виндузятники.

потому что в ином случае ты не знаешь платформу, архитектуру, версии библиотек и т.д.

Нет, я все знаю. Статический бинарник вируса запустится где угодно и сделает что угодно. Можно собрать под 386 архитектуру, и гарантированно будет работать, любое x86_64 ядро в дистрибутивах с поддержкой x86 идет. Ну да, на армах не взлетит, но кого они волнуют.

20 гб библиотек на все случаи жизни :)

У меня или у тебя? :) Или с вирусом 20 Гб библиотек поставляется?

а у нас - не сработает и не должно сработать, так что и необходимости в этом нет. так что самый простой канал поставки дури в систему - его просто нет.

У вас - это на OpenBSD что-ли? Между линуксами все работает, распространяется и переносится. Тарболы бинарные для кучи свободного и несвободного софта выложены, и они просто распаковываются и работают в любом линуксе.

Если говорить о вирусе-шифровальщике, то ему для работы нужно только ядро, все остальное элементарно влинковывается в сам бинарник вируса. А сисколлы ядра везде одни и те же. /home тоже и в африке /home.

Нет, нет и нет. В любом руководстве для домохозяек учат так не делать. По крайней мере, я еще не видел, чтобы человека, запускающего экзешники из писем

причём здесь письма? диски, флешки, фэтэпэшки. софт-то брать откуда? с пасьянсом и паинтом сидеть?

речь идёт о МОДЕЛИ. я даже не знаю, могу ли я что-то запустить кликом, потому что такой необходимости не было НИКОГДА. если можно - значит, дистростроители должны блокировать такой путь

у нас вообще другая модель, можно даже сказать - другая парадигма. и если там есть щели - то они легко бетонируются. в венде же это наследие тяжёлого безрепозиторного детства.

Для многих так называемых «cертифицированных дистрибутивов» (якобы) и вообще, при засилье бинарщины, systemd, фирмварей и т.п. - шансов подцепить заразу и вместе с ней криптолокер больше, но потенциально меньше в целом, чем под винду конечно.

Это справедливо также для сетей, где возможно присутствует MITM (особенно касается любителей монопольных систем: централизации, реестров управления, единых командных центров, точек обмена и т.п.) - т.е. атака например на централизованные следящие «запрещаторы», может привести (или уже приводит) к дополнительному риску распространения заразы куда угодно в довольно приличных масштабах.

По крайней мере, я еще не видел, чтобы человека, запускающего экзешники из писем считали нормальным даже виндузятники.

Лол. Ты этого не видел не потому что домохозяйки стали умные, просто почтовики (биги) не пропускают такие письма даже в спам

Чтобы предотвратить распространение вирусов, в Gmail запрещено пересылать файлы определенного типа, а именно:

Перечисленные ниже типы файлов, включая сжатые (например, GZ или BZ2) и архивы (например, ZIP или TGZ). Документы с вредоносными макросами. Архивы с файлами, которые защищены паролем. Архивы, содержащие архивы и защищенные паролем.

Примечание. Кроме того, в Gmail есть ограничения на размер писем, поэтому если прикрепленный файл слишком велик, то сообщение также не отправится. Подробнее об ограничениях на размер файлов… Какие файлы нельзя отправлять

ADE, ADP, BAT, CHM, CMD, COM, CPL, EXE, HTA, INS, ISP, JAR, JS (запрещен недавно), JSE, LIB, LNK, MDE, MSC, MSI, MSP, MST, NSH PIF, SCR, SCT, SHB, SYS, VB, VBE, VBS, VXD, WSC, WSF, WSH Что можно сделать

Если вы уверены в безопасности файла, попросите отправителя загрузить его на Google Диск и отправить файл как вложение с Диска.

https://support.google.com/mail/answer/6590#messageswattachments

достаточно компильнуть под i686

ARM/MIPS/разное выпадут.

для НОРМАЛЬНОГО использования обычно требуются библиотеки

Достаточно зацепиться. Нужное потом можно подтянуть потихоньку.

Десктоп?

Десктоп?

Ну начали появляться.

Ну это редкость даже в среде линукс-юзеров. Если ты атакуешь целенаправленно, то будешь в курсе под какую архитектуру собирать. А для (условно) массовой атаки хватит собрать под i686.

причём здесь письма? диски, флешки, фэтэпэшки. софт-то брать откуда? с пасьянсом и паинтом сидеть?

При том, что сабжевые криптолокеры, о которых тред, распространяются через письма. На лицензионных же дисках никаких вирусов нет и быть не может. С другой стороны - я могу поднять репу ppa с вирусами, и никто не помешает неграмотному пользователю ее подключить и получать свежие обновления вирусняка для моего ботнета. То есть вопрос заключается только в доверии к источнику. А доверие/недоверие - это проблема пользователя, а не системы.

речь идёт о МОДЕЛИ. я даже не знаю, могу ли я что-то запустить кликом, потому что такой необходимости не было НИКОГДА. если можно - значит, дистростроители должны блокировать такой путь

Если мы все же говорим о линуксе, то блокировать такой путь физически невозможно, потому что команда /lib/linux-ld.so ./virusniak позволяет запустить что угодно, даже без прав на запуск этого бинарника. Точно так же можно запустить любой скрипт, не имея прав на запуск файла скрипта. И как ты забетонируешь щели? Нет ни одного распространенного дистрибутива, где такие щели закрыты.

Опять же, какое громкое слово ПАРАДИГМА. Но такова ли она? Настоящая парадигма - это configure, make, make install. А репы - побочное дополнение к этой базовой системе, чтобы ленивые могли автоматически обновляться. Никто никогда не заставлял ставить софт только из репов. Более того, есть такие замечательные утилиты, как checkinstall в дебиане, которые максимально упрощают установку не из репов. Есть alien в дебиане, чтобы можно было ставить что хочешь.

У snap тоже есть зависимости. Просто так snap-пакет не запуститься.