¿Qué tan (en) vulnerable es OS X al cifrado de ransomware?

2

En estos días, el software malicioso parece estar infectando computadoras Windows, cifrando sus datos en contra de su voluntad y pidiendo un rescate de Bitcoin a cambio de la clave de cifrado.

  1. Para que un software de este tipo se ejecute "con éxito" en una máquina con OS X, ¿el usuario primero tendría que ejecutarlo y dar la contraseña sudo? ¿Es concebible tal amenaza en OS X sin que el usuario haga esto?

  2. ¿Protegería FileVault contra esto? ¿Un programa de ransomware, si es instalado involuntariamente por un usuario (que también confirmó con la contraseña de sudo), podría tomar como rehenes los datos de FileVault? ¿Podría tomar como rehenes también sus copias de seguridad de TimeMachine incluso si están cifradas?

  3. En general, ¿qué tan vulnerable es (in) OS X al cifrado de ransomware, y qué tan descuidadas y descuidadas deben ser las acciones de un usuario para que realmente sus datos sean tomados como rehenes?

pregunta Revetahw 22.01.2016 - 06:36

2 respuestas

2

En este momento, es relativamente seguro. La mayoría del ransomware se ha dirigido a los usuarios de Windows, y hasta ahora, el ransomware que se ha dirigido a las Mac ha sido relativamente crudo. La última (muy cruda) amenaza Mac ransomware no lo hizo destruye las copias de seguridad de Time Machine, pero FileVault no las detuvo.

En general, es poco probable que los pasos que describe en la parte 2 de su pregunta lo ayuden a protegerlo; Los datos cifrados no son más difíciles de volver a cifrar que los datos no cifrados.

Las vulnerabilidades que no requieren lo que describe en la parte 1 de su pregunta son raras, pero se encuentran de vez en cuando. Mac ransomware que usa uno aún no se ha visto. Es probable que el ransomware de Mac se vuelva más sofisticado, y es poco probable que los usuarios inteligentes y cuidadosos pierdan sus datos al ransomware en el corto plazo. Pero no puedo predecir el futuro. Esta respuesta puede perdurar durante años y es probable que ese ransomware aparezca eventualmente. Pero el significado de "usuario cuidadoso y experto" probablemente también cambiará con el tiempo.

En la actualidad:

Al ransomware le será relativamente difícil eliminar o cifrar las copias de seguridad en línea de Time Machine. Incluso como root / superusuario, es difícil eliminar las copias de seguridad de Time Machine:

sudo rm /Volumes/BK1/Backups.backupdb/Orion/2017-03-18-184155/BOOT/var/du--sortedALLk.13224.bak
Password:
override rw-r--r--  root/wheel for /Volumes/BK1/Backups.backupdb/Orion/2017-03-18-184155/BOOT/var/du--sortedALLk.13224.bak? y
rm: /Volumes/BK1/Backups.backupdb/Orion/2017-03-18-184155/BOOT/var/du--sortedALLk.13224.bak: Operation not permitted

Pero está lejos de un problema insuperable. Creo que la gente debería suponer que el paso adicional por el que debería pasar el ransomware (con el que estoy familiarizado pero que elijo no publicitar, prefiero no ayudar a los chiquillos de script) para poder eliminar o cifrar las copias de seguridad de TM es algo la mayoría del ransomware de Mac con el que es probable que se infecte estará programado para su uso.

Se recomienda a los usuarios de Time Machine que permitan que las copias de seguridad se ejecuten con frecuencia, lo que los hace bastante vulnerables al ransomware.

Por lo tanto, algunas unidades de respaldo deben conectarse con menos frecuencia y mantenerse más seguras, no totalmente accesibles al sistema, específicamente para protegerlas del ransomware.

Normalmente, las víctimas se dan cuenta de que se han infectado con ransomware solo cuando el ransomware anuncia su presencia. Por lo tanto, es probable que no pueda saber que una computadora está infectada con ransomware antes de que tenga la oportunidad de cifrar los datos en una unidad externa conectada de manera frecuente o continua. Asumir lo contrario está lejos de ser una suposición segura. La amenaza del ransomware hace que la preparación para desastres sea mejor, incluso tener más copias de seguridad físicas fuera de línea, más importante.

    
respondido por el Matthew Elvey 07.04.2017 - 06:18
0

Esta es una pregunta difícil de responder. He visto discusiones sobre MacInTouch.com sobre este tema. Y si se mantiene al tanto de las noticias en línea sobre dichos temas, encontrará que las opiniones varían de "Chicken Little" a "nah, no se preocupe por eso en una Mac".

La verdad probablemente vive en algún lugar entre los dos.

En general, los virus de todos los tipos tienen un poco más de dificultad en la Mac. Corro sin un escáner de virus instalado en todos mis Mac. Pero he estado trabajando, profesionalmente, dando soporte a Mac desde el Sistema 6. Así que, con cuidado, copias de seguridad recientes y una mente alerta (sí, claro ...) estás bastante a salvo sin un escáner de virus. Dicho esto, siempre recomiendo que tenga un escáner de virus instalado y actualizado.

El ransomware generalmente (como muchas otras formas de malware en la Mac) requiere que ingreses un nombre de usuario y una contraseña para otorgarle al instalador de malware los derechos para que realice el trabajo sucio. Sin embargo, hay vulnerabilidades en Mac O / S que supuestamente no requieren autenticación administrativa para enraizar su computadora.

También hay malware que intenta hacerse pasar por un ransomware. Un compañero de trabajo recientemente abrió un enlace a un video que luego infectó a Safari en su Mac con lo que parecía ser un javascript malicioso. Pero al iniciar Safari en modo seguro, restablecer los valores predeterminados y luego realizar una limpieza de caché exhaustiva (usamos Onyx) eliminó el llamado ransomware de su Mac. estaba molesto consigo mismo por no haber dicho nada: "Sabía mejor y nunca debí haber abierto ese video".

Sí, eso no responde completamente a tus preguntas (partes de 1 y 3), pero una búsqueda en línea de artículos sobre ransomware en Mac y una búsqueda de MacInTouch, podría ayudarte a educarte más. O tal vez alguien aquí tenga más experiencia con él.

    
respondido por el Steve Chambers 22.01.2016 - 15:56

Lea otras preguntas en las etiquetas