¿Los sistemas Linux necesitan antivirus contra ransomware?

En realidad, hay varias partes de la pregunta:

1. ¿Linux está afectado por malware y especialmente por ransomware?
2. ¿Existen productos antivirus para Linux?
3. ¿Estos productos ayudan contra esta amenaza?

Para responder a la primera:
Sí, hay malware para Linux y también hay ransomware. Actualmente, generalmente se propaga de una manera diferente en comparación con Windows:el malware en Windows se distribuye principalmente a través del correo electrónico de phishing y la web, y hace uso de vulnerabilidades y características específicas de la plataforma, es decir, actualmente, principalmente host de secuencias de comandos de Windows, macros en documentos de Office y vulnerabilidades en Office. En los sistemas Linux, en cambio, generalmente se instala atacando el servidor, a menudo utilizando problemas de seguridad en Wordpress y otros CMS. Pero esto se debe principalmente a que el uso del servidor de Linux es grande, mientras que el uso del escritorio aún es raro. Las capacidades y vulnerabilidades necesarias para propagar el ransomware de forma similar a Windows también existen a menudo en Linux, aunque algunas diferencias (como la necesidad de establecer explícitamente los permisos de los archivos ejecutables) dificultan algunos exploits.

En cuanto a lo segundo, es decir, son los productos antivirus para Linux:
Hay productos gratuitos como ClamAV y productos comerciales disponibles.

Y, por último, ¿ayudan estos antivirus contra el malware/ransomware dirigido a Linux?
En su mayoría no lo hacen. Estos productos antivirus se preocupan principalmente por la protección contra ataques dirigidos a Windows y, por lo general, se utilizan para escanear archivos o correos que pueden enviarse a sistemas Windows. Por lo tanto, son útiles, por ejemplo, en un servidor de correo o un servidor de archivos y también en un servidor web para asegurarse de que el servidor no se utilice para propagar malware. Pero ni siquiera protegen completamente contra ataques dirigidos a Windows. Es posible que tengan algún código para detectar algunos programas maliciosos bien conocidos (y, a veces, solo una prueba de concepto) contra Linux, pero no protegerán contra cosas nuevas. También hay productos que analizan en busca de rastros de sistemas comprometidos existentes y, a veces, estos se denominan antivirus, pero a menudo no.

La mejor manera de protegerse de la manipulación de datos es hacer copias de seguridad en una máquina que proporcione almacenamiento solo para agregar.

El caso más simple de esto son los servidores de archivos de registro:hay un solo enlace en serie al que puede enviar datos, que se marca con la hora y se almacena; el sistema no interpreta los datos de otra manera y no hay una interfaz de comando en el enlace serial.

Para copias de seguridad completas, dedicaría una máquina que se conecta a las demás, obtiene activamente el estado actual y lo archiva directamente, posiblemente deduplicándolo con versiones anteriores. Los clientes no tienen forma de contactar este sistema de ninguna manera, todos los puertos TCP están cerrados desde el exterior.

Entonces, este sistema tiene una excelente ventaja no solo para proporcionar versiones anteriores, sino que también puede usarse para detectar manipulaciones:los autores de malware tienen la opción de ocultar el malware de este sistema (para que tenga una copia de seguridad limpia), o incluir (lo que permite que un sistema antivirus que se ejecuta en el servidor de respaldo lo detecte).

Linux es seguro pero no es perfecto.

El malware de Linux existe y hay un ejemplo:WordPress-Delivered Ransomware y Hacked Linux Distributions que describen cómo una máquina Linux puede infectarse con un ransomware al explotar la vulnerabilidad de un programa.

¿Cómo funciona?

Un sitio de WordPress es pirateado a través de cualquier método disponible. Eso puede ser un ataque de adivinación de contraseña de fuerza bruta o mediante la explotación de una vulnerabilidad en un complemento, tema o núcleo.

El atacante instala un código en el sitio de WordPress que redirige a los visitantes a otros sitios web infectados que ejecutan Nuclear Exploit Kit. Los redireccionamientos pueden ocurrir a través de una serie de sitios web para intentar evitar que los navegadores web y Google le adviertan que un sitio está infectado. Los sitios involucrados en la redirección cambian con frecuencia.

Cuando se redirige a un visitante al sitio infectado, el kit de explotación nuclear busca vulnerabilidades en el Flash Plugin, Microsoft Silverlight, Adobe Reader o Internet Explorer del visitante del sitio.

Si Nuclear encuentra una vulnerabilidad, explota la máquina del visitante e instala el ransomware TeslaCrypt.

Luego, el ransomware cifra todos los archivos en la estación de trabajo y extorsiona al propietario para que pague para descifrar su sistema.

Un segundo ejemplo:El Linux.Encoder.1 descubierto por Dr.Web

¿Por qué no necesita un programa antivirus en Linux?

porque instaló sus programas desde repositorios confiables y su sistema se actualiza con frecuencia para parchear las fallas de los programas

con los softwares de fuentes abiertas, los códigos fuente están disponibles para todos y pueden ser probados, reparados por expertos y desarrolladores.

¿Por qué necesitas un antivirus?

El antivirus puede ser útil:

• Para escanear el correo electrónico en busca de virus.

• Si tienes wine instalado en su sistema para ejecutar su software favorito de Windows.

• Si tiene una máquina con Windows en su red.

• Para escanear un disco duro de Windows.

• Para escanear algún archivo antes de enviarlo a máquinas con Windows.

La manera fácil de derrotar al ransomware en cualquier sistema operativo es tener una copia de seguridad actualizada periódicamente.