In che modo (in) vulnerabile è OS X to encryption ransomware?

2

In questi giorni, il software dannoso sembra infettare i computer Windows, crittografare i loro dati contro la loro volontà e chiedere un riscatto Bitcoin in cambio della chiave di crittografia.

  1. Affinché un tale software possa essere eseguito "con successo" su una macchina OS X, l'utente deve prima eseguirlo e fornire la password sudo? Una tale minaccia è concepibile su OS X senza che l'utente lo faccia?

  2. FileVault sarebbe protetto contro questo? Potrebbe un programma di ransomware, se installato involontariamente da un utente (che ha anche confermato con la password sudo), prendere in ostaggio i dati di FileVault? Potrebbe prendere in ostaggio anche i backup TimeMachine anche se sono crittografati?

  3. In generale, quanto è vulnerabile (in) OS X al ransomware di crittografia, e quanto devono essere negligenti / insicuri le azioni di un utente per poter avere in ostaggio i suoi dati personali?

posta Revetahw 22.01.2016 - 06:36
fonte

2 risposte

2

Al momento, è relativamente sicuro. La maggior parte dei ransomware ha preso di mira gli utenti di Windows e, finora, il ransomware che ha come target i Mac è stato relativamente rozzo. L' ultima (molto brutta) minaccia per i ransomware Mac non ha distruggi i backup di Time Machine, ma non è stato fermato da FileVault.

In generale, è improbabile che i passaggi descritti nella parte 2 della domanda contribuiscano a proteggerti; i dati crittografati non sono più difficili da crittografare nuovamente rispetto ai dati non crittografati.

Le vulnerabilità che non richiedono ciò che descrivi nella prima parte della tua domanda sono rare, ma vengono trovate di volta in volta. Mac Ransomware che ne usa uno deve ancora essere visto. È probabile che il Mac Ransomware diventerà lentamente più sofisticato, e gli utenti attenti e prudenti non rischiano di perdere i loro dati sul ransomware in qualsiasi momento. Ma non posso predire il futuro. Questa risposta potrebbe durare per anni e probabilmente un tale ransomware si presenterà alla fine. Ma il significato di "utente attento e esperto" probabilmente cambierà anche nel tempo.

Attualmente:

Il ransomware avrà un tempo relativamente lungo per cancellare o crittografare i backup online di Time Machine. Anche come root / superutente, è difficile eliminare i backup di Time Machine:

sudo rm /Volumes/BK1/Backups.backupdb/Orion/2017-03-18-184155/BOOT/var/du--sortedALLk.13224.bak
Password:
override rw-r--r--  root/wheel for /Volumes/BK1/Backups.backupdb/Orion/2017-03-18-184155/BOOT/var/du--sortedALLk.13224.bak? y
rm: /Volumes/BK1/Backups.backupdb/Orion/2017-03-18-184155/BOOT/var/du--sortedALLk.13224.bak: Operation not permitted

Ma è lontano da un problema insormontabile. Penso che la gente dovrebbe presumere che il passaggio aggiuntivo che il ransomware dovrebbe passare (che conosco ma che non voglio rendere pubblico - preferirei non aiutare gli script kiddies) per essere in grado di eliminare o crittografare i backup di TM è qualcosa la maggior parte dei ransomware Mac con cui è probabile che vengano infettati saranno programmati per essere utilizzati.

Gli utenti di Time Machine sono incoraggiati a consentire l'esecuzione frequente dei backup, il che li rende piuttosto vulnerabili al ransomware.

Pertanto alcune unità di backup dovrebbero essere collegate meno spesso e mantenute più sicure, non completamente accessibili per il sistema, in particolare per proteggerle da ransomware.

In genere, le vittime si rendono conto di essere state infettate dal ransomware solo quando il ransomware annuncia la sua presenza. Quindi è probabile che non sarai in grado di dire che un computer è infetto da ransomware prima che abbia la possibilità di crittografare i dati su un'unità esterna connessa frequentemente o continuamente. Supponendo che il contrario è lontano da un'assunzione sicura. La minaccia del ransomware rende la preparazione alle calamità migliore, incluso avere più numerosi backup fisici offline, più importanti.

    
risposta data 07.04.2017 - 06:18
fonte
0

È difficile rispondere. Ho visto discussioni su MacInTouch.com su questo argomento. E se tieni il passo con le notizie online su questi temi, scoprirai che le opinioni variano da "Chicken Little" a "nah, non preoccuparti di questo su un Mac."

Probabilmente la verità vive da qualche parte tra i due.

Generalmente, i virus di tutti i tipi hanno un po 'più difficile su Mac. Corro senza uno scanner antivirus installato su tutti i miei Mac. Ma ho lavorato, professionalmente, supportando i Mac dal System 6. Quindi, con cura, backup recenti e una mente allerta (sì, giusto ...) sei abbastanza sicuro senza un antivirus. Detto questo, consiglio sempre di avere uno scanner antivirus installato e aggiornato.

Ransomware di solito (come molte altre forme di malware sul Mac) richiede l'inserimento di un nome utente e una password per fornire i diritti di installazione del malware per eseguire il lavoro sporco. Tuttavia ci sono vulnerabilità su Mac O / S che presumibilmente non richiedono l'autenticazione amministrativa per il root del tuo computer.

C'è anche un malware che tenta di mascherarsi come ransomware. Un collega di recente ha aperto un link a un video che ha poi infettato Safari sul suo Mac con quello che sembrava un javascript dannoso. Ma l'avvio di Safari in modalità provvisoria, il ripristino delle impostazioni predefinite e una pulizia approfondita della cache (abbiamo usato Onyx) hanno rimosso il cosiddetto ransomware dal suo Mac. era seccato con se stesso per essersi innamorato di questo dicendo: "Sapevo che non avrei mai dovuto aprire quel video".

Sì, che non risponde completamente alle tue domande (parti 1 e 3) ma una ricerca online di articoli su ransomware su Mac e una ricerca di MacInTouch potrebbe aiutarti a educarti ulteriormente. O forse qualcuno qui ha ancora più esperienza con esso.

    
risposta data 22.01.2016 - 15:56
fonte

Leggi altre domande sui tag