Benötigen Linux-Systeme Antivirus gegen Ransomware?

Die Frage besteht eigentlich aus mehreren Teilen:

1. Ist Linux von Malware und insbesondere Ransomware betroffen?
2. Gibt es Antivirus-Produkte für Linux?
3. Helfen diese Produkte gegen diese Bedrohung?

Um die erste zu beantworten:
Ja, es gibt Malware für Linux und es gibt auch Ransomware. Derzeit wird sie im Vergleich zu Windows meist anders verbreitet:Malware unter Windows wird meist per Phishing-Mail und Web verbreitet und nutzt plattformspezifische Schwachstellen und Features aus, d.h. derzeit hauptsächlich Windows Scripting Host, Makros in Office-Dokumenten und Schwachstellen in Office. Auf Linux-Systemen wird es stattdessen normalerweise durch Angriffe auf den Server installiert, häufig unter Verwendung von Sicherheitsproblemen in Wordpress und anderen CMS. Dies liegt jedoch hauptsächlich daran, dass die Servernutzung von Linux groß ist, während die Desktopnutzung noch selten ist. Die Fähigkeiten und Schwachstellen, die erforderlich sind, um Ransomware auf ähnliche Weise wie Windows zu verbreiten, sind häufig auch unter Linux vorhanden, obwohl einige Unterschiede (wie die Notwendigkeit, die Berechtigungen für ausführbare Dateien explizit festzulegen) einige Exploits erschweren.

Was die zweite betrifft, d.h. sind die Antivirus-Produkte für Linux:
Es sind sowohl kostenlose Produkte wie ClamAV als auch kommerzielle Produkte erhältlich.

Und schließlich, helfen diese Antivirenprogramme gegen Malware/Ransomware, die auf Linux abzielt?
Das tun sie meistens nicht. Diese Antivirus-Produkte kümmern sich hauptsächlich um den Schutz vor Angriffen auf Windows und werden normalerweise verwendet, um Dateien oder E-Mails zu scannen, die Windows-Systemen zugestellt werden könnten. So sind sie zum Beispiel auf einem Mailserver oder Dateiserver und auch auf einem Webserver sinnvoll, um sicherzustellen, dass der Server nicht zur Verbreitung von Malware verwendet wird. Aber sie schützen nicht einmal vollständig vor Angriffen auf Windows. Sie enthalten möglicherweise Code, um bekannte (und manchmal nur Proof-of-Concept) Malware gegen Linux zu erkennen, aber sie schützen nicht vor neuen Dingen. Es gibt auch Produkte, die nach Spuren einer bestehenden Systemkompromittierung suchen, und manchmal werden diese als Antivirus bezeichnet, aber oft nicht.

Der beste Schutz vor Datenmanipulation sind Backups auf einem Rechner, der Nur-Anhängen-Speicher bietet.

Der einfachste Fall dafür sind Protokolldateiserver – es gibt eine einzelne serielle Verbindung, über die Sie Daten senden können, die mit einem Zeitstempel versehen und gespeichert werden; das System interpretiert die Daten nicht anderweitig, und es gibt keine Befehlsschnittstelle auf der seriellen Verbindung.

Für vollständige Backups würde ich eine Maschine dedizieren, die sich mit den anderen verbindet, aktiv den aktuellen Status abruft und ihn direkt archiviert, möglicherweise mit früheren Versionen dedupliziert. Clients haben keine Möglichkeit, dieses System in irgendeiner Weise zu kontaktieren, alle TCP-Ports sind von außen geschlossen.

Dieses System hat dann einen hervorragenden Ausgangspunkt, um nicht nur frühere Versionen bereitzustellen, sondern es kann auch verwendet werden, um Manipulationen zu erkennen – Malware-Autoren haben die Wahl, ob sie die Malware entweder vor diesem System verstecken (so dass Sie ein sauberes Backup haben) oder es einschließen es (was es einem auf dem Sicherungsserver laufenden Antivirensystem ermöglicht, es zu erkennen).

Linux ist sicher, aber nicht perfekt.

Die Linux-Malware existiert und es gibt ein Beispiel:Von WordPress bereitgestellte Ransomware und gehackte Linux-Distributionen, die beschreiben, wie ein Linux-Computer mit einer Ransomware infiziert werden kann, indem eine Programmschwachstelle ausgenutzt wird.

Wie funktioniert es?

Eine WordPress-Seite wird mit jeder verfügbaren Methode gehackt. Das kann ein Brute-Force-Angriff zum Erraten von Passwörtern oder das Ausnutzen einer Schwachstelle in einem Plugin, Design oder Kern sein.

Der Angreifer installiert Code auf der WordPress-Site, der Besucher auf andere infizierte Websites umleitet, auf denen das Nuclear Exploit Kit ausgeführt wird. Die Umleitungen können über eine Reihe von Websites erfolgen, um zu verhindern, dass Webbrowser und Google Sie warnen, dass eine Website infiziert ist. Die an der Weiterleitung beteiligten Websites ändern sich häufig.

Wenn ein Besucher auf die infizierte Website umgeleitet wird, sucht das nukleare Exploit-Kit nach Schwachstellen im Flash-Plug-in, Microsoft Silverlight, Adobe Reader oder Internet Explorer des Website-Besuchers.

Wenn Nuclear eine Schwachstelle findet, nutzt es den Besuchercomputer aus und installiert die TeslaCrypt-Ransomware.

Die Ransomware verschlüsselt dann alle Dateien auf der Arbeitsstation und erpresst den Eigentümer dazu, für die Entschlüsselung seines Systems zu bezahlen.

Ein zweites Beispiel:Der von Dr.Web entdeckte Linux.Encoder.1

Warum braucht man unter Linux kein Antivirenprogramm?

weil Sie Ihre Programme aus vertrauenswürdigen Repositorys installiert haben und Ihr System häufig aktualisiert wird, um Programmfehler zu beheben

Bei Open-Source-Software ist der Quellcode für jedermann verfügbar und kann von Experten und Entwicklern getestet und gepatcht werden.

Warum brauchen Sie einen Virenschutz?

Der Virenschutz kann nützlich sein:

• So scannen Sie E-Mails auf Viren.

• Wenn Sie wine haben auf Ihrem System installiert, um Ihre bevorzugte Windows-Software auszuführen.

• Wenn Sie einen Windows-Rechner in Ihrem Netzwerk haben.

• So scannen Sie eine Windows-Festplatte.

• Um eine Datei zu scannen, bevor sie an Windows-Rechner gesendet wird.

Der einfache Weg, Ransomware auf jedem Betriebssystem zu besiegen, ist ein regelmäßig aktualisiertes Backup.