I sistemi Linux necessitano di antivirus contro il ransomware?

In realtà ci sono più parti della domanda:

1. Linux è affetto da malware e soprattutto da ransomware?
2. Esistono prodotti antivirus per Linux?
3. Questi prodotti aiutano contro questa minaccia?

Per rispondere alla prima:
Sì, c'è malware per Linux e c'è anche ransomware. Attualmente viene solitamente propagato in modo diverso rispetto a Windows:il malware su Windows è distribuito principalmente tramite posta e Web di phishing e utilizza vulnerabilità e funzionalità specifiche della piattaforma, ovvero attualmente principalmente Windows scripting host, macro nei documenti di Office e vulnerabilità in Office. Sui sistemi Linux invece viene solitamente installato attaccando il server, spesso sfruttando problemi di sicurezza in Wordpress e altri CMS. Ma questo è principalmente dovuto al fatto che l'uso del server di Linux è ampio mentre l'uso del desktop è ancora raro. Le capacità e le vulnerabilità necessarie per diffondere il ransomware in modo simile a Windows spesso esistono anche su Linux, sebbene alcune differenze (come la necessità di impostare esplicitamente le autorizzazioni dei file eseguibili) rendano alcuni exploit più difficili.

Per quanto riguarda la seconda, ovvero sono i prodotti antivirus per Linux:
Sono disponibili sia prodotti gratuiti come ClamAV che prodotti commerciali.

E infine, questi antivirus aiutano contro malware/ransomware che prendono di mira Linux?
Per lo più no. Questi prodotti antivirus si preoccupano principalmente di proteggere dagli attacchi mirati a Windows e vengono solitamente utilizzati per scansionare file o e-mail che potrebbero essere inviati ai sistemi Windows. Pertanto sono utili ad esempio su un server di posta o file server e anche su un server Web per assicurarsi che il server non venga utilizzato per diffondere malware. Ma non proteggono nemmeno completamente dagli attacchi mirati a Windows. Potrebbero contenere del codice per rilevare alcuni malware ben noti (e talvolta solo prove di concetto) contro Linux, ma non proteggeranno da cose nuove. Ci sono anche prodotti che cercano tracce di compromissione del sistema esistente ea volte questi sono chiamati antivirus ma spesso no.

Il modo migliore per proteggersi dalla manipolazione dei dati è eseguire i backup su una macchina che fornisce l'archiviazione di sola aggiunta.

Il caso più semplice di ciò sono i server di file di registro:esiste un singolo collegamento seriale su cui è possibile inviare i dati, che viene contrassegnato con data e ora e archiviato; il sistema non interpreta altrimenti i dati e non esiste un'interfaccia di comando sul collegamento seriale.

Per i backup completi, dedicherei una macchina che si connette alle altre, recupera attivamente lo stato corrente e lo archivia direttamente, possibilmente deduplicando con versioni precedenti. I client non hanno modo di contattare in alcun modo questo sistema, tutte le porte TCP sono chiuse dall'esterno.

Questo sistema ha quindi un eccellente punto di vantaggio non solo per fornire versioni precedenti, ma può anche essere utilizzato per rilevare manipolazioni:gli autori di malware possono scegliere di nascondere il malware da questo sistema (in modo da avere un backup pulito) o includere it (che consente a un sistema antivirus in esecuzione sul server di backup di individuarlo).

Linux è sicuro ma non è perfetto.

Il malware Linux esiste e c'è un esempio:WordPress-Delivered Ransomware e Hacked Linux Distributions che descrivono come una macchina Linux può essere infettata da un ransomware sfruttando una vulnerabilità del programma.

Come funziona?

Un sito WordPress viene violato con qualsiasi metodo disponibile. Potrebbe trattarsi di un attacco di forza bruta per indovinare la password o sfruttare una vulnerabilità in un plug-in, tema o core.

L'attaccante installa il codice sul sito WordPress che reindirizza i visitatori ad altri siti Web infetti che eseguono il Nuclear Exploit Kit. I reindirizzamenti possono avvenire attraverso una serie di siti Web per cercare di impedire ai browser Web e a Google di avvisarti che un sito è infetto. I siti coinvolti nel reindirizzamento cambiano frequentemente.

Quando un visitatore del sito infetto viene reindirizzato, il kit di exploit nucleare ricerca le vulnerabilità nel plug-in Flash, Microsoft Silverlight, Adobe Reader o Internet Explorer del visitatore del sito.

Se Nuclear rileva una vulnerabilità, sfrutta la macchina del visitatore e installa TeslaCrypt Ransomware.

Il ransomware quindi crittografa tutti i file sulla workstation ed estorce il proprietario affinché paghi per decrittografare il proprio sistema.

Un secondo esempio:il Linux.Encoder.1 scoperto da Dr.Web

Perché non hai bisogno di un programma antivirus sotto Linux?

perché hai installato i tuoi programmi da un repository attendibile e il tuo sistema viene aggiornato frequentemente per correggere i difetti dei programmi

con i software open source, i codici sorgenti sono disponibili per tutti e possono essere testati, patchati da esperti e sviluppatori.

Perché hai bisogno di un antivirus?

L'antivirus può essere utile:

• Per scansionare la posta elettronica alla ricerca di virus.

• Se hai wine installato sul tuo sistema per eseguire il tuo software windows preferito.

• Se hai un computer Windows sulla tua rete.

• Per eseguire la scansione di un disco rigido di Windows.

• Scansionare un file prima di inviarlo a macchine Windows.

Il modo più semplice per sconfiggere il ransomware su qualsiasi sistema operativo è disporre di un backup regolarmente aggiornato.